buuctf_练[CSCCTF 2019 Qual]FlaskLight

9月前作者：生而逢时分类：Toy博客阅读(43) 违法举报

这篇具有很好参考价值的文章主要介绍了buuctf_练[CSCCTF 2019 Qual]FlaskLight。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

[CSCCTF 2019 Qual]FlaskLight

掌握知识

内置函数的过滤，globals变量的过滤，调用内部变量或函数的OS函数进行命令执行

解题思路

打开题目链接，很明显看标题和内容是flask模块的ssti模板注入了，查看源码，发现了传参的参数和请求方法

buuctf_练[CSCCTF 2019 Qual]FlaskLight,buuctf刷题,笔记,python,其他,php,web安全

buuctf_练[CSCCTF 2019 Qual]FlaskLight,buuctf刷题,笔记,python,其他,php,web安全

先测试一下{{7*7}}，正常返回49，证明存在ssti模板注入

buuctf_练[CSCCTF 2019 Qual]FlaskLight,buuctf刷题,笔记,python,其他,php,web安全

直接使用内置函数url_for调用其内部的OS函数来进行命令执行，但发现页面报错500，看来多半是有过滤了，直接执行url_for也报错，证明过滤了url_for，测试config成功返回内容

buuctf_练[CSCCTF 2019 Qual]FlaskLight,buuctf刷题,笔记,python,其他,php,web安全

buuctf_练[CSCCTF 2019 Qual]FlaskLight,buuctf刷题,笔记,python,其他,php,web安全

尝试调用config的内部OS命令，但依旧报错，还有过滤，再次测试发现是globals被过滤了

buuctf_练[CSCCTF 2019 Qual]FlaskLight,buuctf刷题,笔记,python,其他,php,web安全

buuctf_练[CSCCTF 2019 Qual]FlaskLight,buuctf刷题,笔记,python,其他,php,web安全

buuctf_练[CSCCTF 2019 Qual]FlaskLight,buuctf刷题,笔记,python,其他,php,web安全

使用命令拼接，将globals分成两半拼接一起就能绕过过滤了['__glo'+'bals__']，只不过必须使用[]的字典键值访问的形式，不能用.的形式了

buuctf_练[CSCCTF 2019 Qual]FlaskLight,buuctf刷题,笔记,python,其他,php,web安全

查看根目录发现了flag文件，但是cat返回为空，以为命令被过滤了，后面才察觉原来是个目录，cd到文件下，查看到了flag和app.py源码，拿下flag

buuctf_练[CSCCTF 2019 Qual]FlaskLight,buuctf刷题,笔记,python,其他,php,web安全

buuctf_练[CSCCTF 2019 Qual]FlaskLight,buuctf刷题,笔记,python,其他,php,web安全

buuctf_练[CSCCTF 2019 Qual]FlaskLight,buuctf刷题,笔记,python,其他,php,web安全文章来源地址https://www.toymoban.com/news/detail-716832.html

关键paylaod

{{config.__class__.__init__['__glo'+'bals__']['os'].popen('ls').read()}}

到了这里，关于buuctf_练[CSCCTF 2019 Qual]FlaskLight的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：如若内容造成侵权/违法违规/事实不符，请点击违法举报进行投诉反馈，一经查实，立即删除！

分享到：

领支付宝红包赞助服务器费用

BUUCTF [极客大挑战 2019]Knife1

连接蚁剑，连接密码为Syc 在 / 文件夹下找到flag文件打开得到flag

2024年02月09日
浏览(36)
re学习（15）BUUCTF 2019红帽杯easyRe

【BUUCTF】每天一个CTF11“2019红帽杯easyRe”_哔哩哔哩_bilibili （本人觉得看视频比看博客效率能提高十倍，呜呜呜，还是视频香~~~与君共勉） BUUCTF在线评测前言：虽然带有easy,但是并不是那么easy。CTF偏向于算法，实战偏向于程序逻辑，执行的流程 AB键将转伪代码，与空格键配合

2024年02月15日
浏览(33)
BUUCTF刷题记录

首先，它从GET请求中获取名为\\\"host\\\"的参数，并将其赋值给变量$host。接下来，代码使用 escapeshellarg() 函数对$host进行转义，以防止命令注入攻击。这个函数会在字符串的开头和结尾添加单引号，会将其中的单引号字符\\\'加一个转义符，再加上一对单引号进行链接单，转义为 \\\'

2024年01月17日
浏览(32)
BUUCTF刷题十一道(07)

参考博客界面源码没有东西，点Source看看 preg_match 正则匹配，结尾用不可见字符绕过要从 config.php 读 flag ， $_SERVER[\\\'PHP_SELF\\\'] 表示的就是当前访问的 php 页面当我们传入index.php/config.php时，仍然请求的是index.php，但是当basename()处理后，highlight_file()得到的参数就变成了config.p

2024年02月09日
浏览(37)
buuctf PWN ciscn_2019_c_1

encrypt()里面get函数存在溢出点offest=0x50+8。puts()可以用来泄露libc基址。 amd64的参数调用顺序是如下序列的自后而前，即：完成传递参数（地址）-本函数地址 - 返回地址 ... - pop_rdi;ret - argv - call_addr - ret_address 获得本elf中的gadgets： ROPgadget --binary ./ciscn_2019_c_1 --only \\\"pop|ret\\\" ROPgadg

2024年02月07日
浏览(32)
BUUCTF-WEB-刷题记录

代码理解进入主页后发现是代码审计 / 解题总的来说关注三行就够了,连起来可以这样理解: 创建一个目录名为orange+右上角的访客ip的MD5加密值 d a t a 接受 s h e l l 命令最后写入目录名 / data接受shell命令最后写入目录名/ d a t a 接受 s h e ll 命令最后写入目录名 / filename文件名里

2024年02月07日
浏览(39)
BUUCTF刷题十一道（12）附-SSTI专题二

SSTI-服务端模板注入漏洞 flask之ssti模板注入从零到入门 CTFSHOW SSTI篇-yu22x SSTI模板注入绕过（进阶篇）-yu22x SSTI模板注入学习-竹言笙熙全部总结看最后一篇 Smarty 模板注入与沙箱逃逸-长亭科技发现能显示ip地址，没有其他传参的地方，应该在xff头自定义xff头，尝试模板注入但

2024年04月10日
浏览(32)
[网络安全/CTF] BUUCTF极客大挑战2019PHP解题详析(Dirsearch使用实例+php反序列化)

提示：有一个良好的备份网站的习惯故使用dirsearch工具扫描目录得到的扫描结果中包含www.zip目录通过url路径下载zip文件： index.php中含有关键代码： Get传参传入一个参数select，后端将其序列化 class.php： construct 是构造函数，在对象被创建的时候自动调用，进行类的初始化，

2024年02月05日
浏览(73)
BUUCTF Misc [SUCTF2018]single dog & 我吃三明治 & sqltest & [SWPU2019]你有没有好好看网课?

目录 [SUCTF2018]single dog 我吃三明治 sqltest [SWPU2019]你有没有好好看网课? 下载文件使用kali的binwalk工具分析进行文件分离解压其中的压缩包，得到1.txt 看内容应该是js加密后的结果，复制到AAEncode在线解密网站得到flag flag{happy double eleven} 下载文件使用010 eitor打

2023年04月08日
浏览(44)
刷题笔记(跑路人笔记)

刷题笔记第一道题跟后面没啥关系但是后两道关系比较明显最后一道题看不懂的朋友请多看看倒数第二道题连接一个规律=-=而非思想,叫三趟逆置法想要旋转数组元素的前K个只需要先逆置N-K项再逆置K项再整体逆置首先说一下旋转和逆置的区别以数组: 1,2,3,4,5,6,7,8为例

2024年02月02日
浏览(33)