[WesternCTF2018]shrine
SSTI模板注入类题目
模板注入涉及的是服务端Web应用使用模板引擎渲染用户请求的过程
服务端把用户输入的内容渲染成模板就可能造成SSTI(Server-Side Template Injection)
模板渲染接受的参数需要用两个大括号括起来{{}},所以我们需要在大括号内构造参数形成注入
SSTI注入需要知道用的是什么模板引擎,参考这张图片
整理一下题目给出的python代码
import flask
import os
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
@app.route('/')
def index():
return open(__file__).read()
@app.route('/shrine/<path:shrine>')
def shrine(shrine):
def safe_jinja(s):
s = s.replace('(', '').replace(')', '')
blacklist = ['config', 'self']
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':
app.run(debug=True)
可以看到有两个路由,第一个路由给出了显示出源代码,第二个路由在/shrine/路径下提交参数,模板中设定{{ }}包括的内容为后端变量,% %包括的内容为逻辑语句
我们简单测试注入/shrine/{{2+2}}
我们查看源码,可以知道我们提交的参数之中的()会被置为空,同时会将黑名单内的内容遍历一遍,把参数内的与黑名单相同的置为None
/shrine/{{config}}
如果没有黑名单的时候,我们可以使用config,传入 config,或者使用self,传入 {{self.__dict__}}
当config,self,()都被过滤的时候,为了获取讯息,我们需要读取一些例如current_app这样的全局变量。
看了其他师傅的WP,python的沙箱逃逸这里的方法是利用python对象之间的引用关系来调用被禁用的函数对象。
这里有两个函数包含了current_app全局变量,url_for和get_flashed_messages
官方文档在
我们注入{url_for.__globals__}得到
current_app是当前使用的app,继续注入当前app的config
{url_for.__globals__['current_app'].config}
成功找到flag
get_flashed_messages注入的方法同理
继续学习,积累思路
