[WesternCTF2018]shrine

SSTI模板注入类题目

模板注入涉及的是服务端Web应用使用模板引擎渲染用户请求的过程
服务端把用户输入的内容渲染成模板就可能造成SSTI(Server-Side Template Injection)

模板渲染接受的参数需要用两个大括号括起来{{}}，所以我们需要在大括号内构造参数形成注入

SSTI注入需要知道用的是什么模板引擎，参考这张图片

整理一下题目给出的python代码

import flask
import os
 
app = flask.Flask(__name__)
 
app.config['FLAG'] = os.environ.pop('FLAG')
 
@app.route('/')
def index():
    return open(__file__).read()
 
@app.route('/shrine/<path:shrine>')
def shrine(shrine):
 
    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
 
    return flask.render_template_string(safe_jinja(shrine))
 
if __name__ == '__main__':
    app.run(debug=True)

可以看到有两个路由，第一个路由给出了显示出源代码，第二个路由在/shrine/路径下提交参数，模板中设定{{ }}包括的内容为后端变量，% %包括的内容为逻辑语句

我们简单测试注入/shrine/{{2+2}}

我们查看源码，可以知道我们提交的参数之中的()会被置为空，同时会将黑名单内的内容遍历一遍，把参数内的与黑名单相同的置为None

/shrine/{{config}}

如果没有黑名单的时候，我们可以使用config，传入 config，或者使用self，传入 {{self.__dict__}}

当config,self,()都被过滤的时候，为了获取讯息，我们需要读取一些例如current_app这样的全局变量。

看了其他师傅的WP，python的沙箱逃逸这里的方法是利用python对象之间的引用关系来调用被禁用的函数对象。

这里有两个函数包含了current_app全局变量，url_for和get_flashed_messages

官方文档在

• https://flask.palletsprojects.com/en/1.0.x/api/#flask.get_flashed_messages

• https://flask.palletsprojects.com/en/1.0.x/api/#flask.url_forbaobaoer.cn/archives/656/python-b2e7b180e9b880e793

我们注入{url_for.__globals__}得到

current_app是当前使用的app，继续注入当前app的config

{url_for.__globals__['current_app'].config}

成功找到flag

get_flashed_messages注入的方法同理

继续学习，积累思路

参考链接

• http://shaobaobaoer.cn/archives/665/tokyo-westerns-ctf-2018-web-wp#shrine
• http://luty.tech/2018/11/13/CTF题解记录-web篇/
• http://www.cl4y.top/buuctf_wp/#toc-head-37
• http://phoebe233.cn/index.php/archives/22/
• https://www.cnblogs.com/wangtanzhi/p/12238779.html

__EOF__

本文作者：春告鳥
本文链接：https://www.cnblogs.com/Cl0ud/p/12316287.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！