打开链接,给了一堆代码,查看源码
嗯,首先可以确定的是flask,那么应该存在ssti模板注入漏洞
验证一下,果然存在,如下图
源代码中
app.config['FLAG'] = os.environ.pop('FLAG')
这里配置了一个FLAG的config,猜测f浪就放在其中,但是源码中把config和self过滤了
def safe_jinja(s):
s = s.replace('(', '').replace(')', '')
blacklist = ['config', 'self']
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
如果没有过滤的话,我们可以用config或{{self.__dict__}}来查看,但是本题过滤了,所以我们需要利用python对象之间的引用关系来调用被禁用的函数对象。
这里有两个函数包含了current_app全局变量,url_for和get_flashed_messages,为什么要找current_app,因为current_app代表了当前项目的app,我们要找的就是当前app下的config
所以需要引用current_app.config来获得flag,如下图
获得flag