buuctf:[WesternCTF2018]shrine

打开链接,给了一堆代码,查看源码

buuctf:[WesternCTF2018]shrine

 

 嗯,首先可以确定的是flask,那么应该存在ssti模板注入漏洞

验证一下,果然存在,如下图

buuctf:[WesternCTF2018]shrine

 

源代码中

app.config['FLAG'] = os.environ.pop('FLAG')

这里配置了一个FLAG的config,猜测f浪就放在其中,但是源码中把config和self过滤了

def safe_jinja(s):
s = s.replace('(', '').replace(')', '')
blacklist = ['config', 'self']
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

如果没有过滤的话,我们可以用config或{{self.__dict__}}来查看,但是本题过滤了,所以我们需要利用python对象之间的引用关系来调用被禁用的函数对象。

这里有两个函数包含了current_app全局变量,url_for和get_flashed_messages,为什么要找current_app,因为current_app代表了当前项目的app,我们要找的就是当前app下的config

所以需要引用current_app.config来获得flag,如下图

buuctf:[WesternCTF2018]shrine

 

buuctf:[WesternCTF2018]shrine

 

 获得flag

 

上一篇:C++结构体数组


下一篇:mysql 练习20道题