1. 题目描述

打开链接，发现是一串源码：

从源码中不难发现关键词是flask.render_template_string(safe_jinja(shrine)) ，这个函数说明了题目的关键点在于模板渲染，即存在模板注入

2. 思路分析

从代码中不难发现，即使存在模板渲染的操作，但是进行了一些安全防护措施
2.1 将(和)替换成了空字符
2.2 将关键字config和self替换为空字符串，不能直接传入这两个字符串
我们的flag在app.config[‘FLAG’] = os.environ.pop(‘FLAG’)中

因为这次的flag在app.config里面，和之前直接在设备上执行命令还不一样，这里会利用到url_for或者get_flashed_messages这两个内置函数（参考https://blog.csdn.net/qq_45290991/article/details/120117615）

在Flask框架中，url_for函数是一个全局函数，它用于生成指定视图函数的URL。它位于Flask的全局命名空间中。

通过访问url_for.__globals__，您可以获取到url_for函数所在的全局命名空间，其中存储了定义的全局变量和其他函数，利用这一点可以获取到flag。（get_flashed_messages同理）

3. 解题过程

3.1 访问http://61.147.171.105:63693/shrine/shrine={{url_for.__globals__}}，发现存在一个current_app能够利用

3.2 因为flag在app.config中，直接访问http://61.147.171.105:63693/shrine/shrine={{url_for.__globals__.current_app.config}}就可以获取到flag了

最终的flag为flag{shrine_is_good_ssti}

总结：本体关键是SSTI利用函数的使用，算是了解了SSTI的一种新的利用点和新的利用函数，也算是收获满满吧