buuctf:[WesternCTF2018]shrine

打开链接，给了一堆代码，查看源码

 

 嗯，首先可以确定的是flask，那么应该存在ssti模板注入漏洞

验证一下，果然存在，如下图

 

源代码中

app.config['FLAG'] = os.environ.pop('FLAG')

这里配置了一个FLAG的config，猜测f浪就放在其中，但是源码中把config和self过滤了

def safe_jinja(s):
s = s.replace('(', '').replace(')', '')
blacklist = ['config', 'self']
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

如果没有过滤的话，我们可以用config或{{self.__dict__}}来查看，但是本题过滤了，所以我们需要利用python对象之间的引用关系来调用被禁用的函数对象。

这里有两个函数包含了current_app全局变量，url_for和get_flashed_messages，为什么要找current_app，因为current_app代表了当前项目的app，我们要找的就是当前app下的config

所以需要引用current_app.config来获得flag，如下图

 

 

 获得flag