題目環境分析

首先開啟靶機獲取到題目如下

import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG')@app.route('/') def index(): return open(__file__).read()@app.route('/shrine/<path:shrine>') def shrine(shrine):def safe_jinja(s):s = s.replace('(', '').replace(')', '')blacklist = ['config', 'self']return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + sreturn flask.render_template_string(safe_jinja(shrine))if __name__ == '__main__': app.run(debug=True)

第一步對題目給出代碼進行分析

@app.route('/') def index(): return open(__file__).read()

默認訪問路徑為‘/’，那么會將源代碼讀取出來，也就是默認頁面所呈現的。

@app.route('/shrine/<path:shrine>') def shrine(shrine):def safe_jinja(s):s = s.replace('(', '').replace(')', '')blacklist = ['config', 'self']return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + sreturn flask.render_template_string(safe_jinja(shrine))

這邊訪問‘/shrine/’路徑下，傳入一個值，返回的是

flask.render_template_string(safe_jinja(shrine))

我們輸入的值首先被傳到了safe_jinja函數，然后由flask.render_template_string進行渲染
對于沒有用過flask框架的我來說理解safe_jinja函數最后的return操作有點困難，我本地執行了一下

很容易理解的是，我們傳入的s會首先被去除‘(’，‘)’,然后在最后加上處理后的s，前面是

{% set config=None%}{% set self=None%}

可以知道是結合flask.render_template_string渲染肯定會有漏洞。

解題過程

看到這邊忽然才發現，flask最著名的不就是模板注入嗎，直接模板注入不就行了。

發現果然可以執行。

但是我們之前已經發現他會將’(’,’)'替代。并且{% set config=None%}{% set self=None%}，將config和self加入了黑名單。

這邊百度了一下flask模板注入繞過，發現并沒有繞過括號的。。。。。

于是啟動搜索writeup大法。

給出的payload為

{{get_flashed_messages.__globals__['current_app'].config['FLAG']}}

總結

以上是生活随笔為你收集整理的攻防世界-web-shrine-从0到1的解题历程writeup的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。