qq_61988806的博客

这里我们可以传入username和password的值为布尔值的true那这个查询语句就一定为true先构建数组b:1;b:1;这里代表创建数组里面有两个键值对。

f12看源码得到/source发现是一个压缩文件这里的os.path.join函数存在漏洞os.path.join函数会以最后一个/开始拼接 如果存在./那所有的参数保留所以我们传入/flag 因为是/所以会以/flag为拼接得到文件所在的地方。

f12 发现提示disallow 也就是不允许的想到robots.txt。

测试发现输入的内容会通过get传递但是没有其他内容观察一下响应头我们看到了这里的md5(string,raw)这里的string应该清楚就是字符串，是必选参数raw是可选参数 默认不写为FALSE。32位16进制的字符串。TRUE 代表16位2进制字符串。通过post传递这里是sql查询语句 目的是passdword=传递的值 在sql语句中 or 左右一边为true则语句都为true 这也是我们or 1 = 1 的由来，所有我们在这里要尝试构造带or的参数。

我们寻找ssti漏洞常用2*2这种因为在模板注入中{{str}}中如果而str是如果get post传递的值那有两总结果是输出2*2和4结果等于4证明执行了2*2返回了结果存在ssti 所以我们使用输入{{2*2}}或者直接传入2*2。根据这个页面我们知道了里面有app.py tempkating.py environment.py等py文件。class 魔术方法用于查找父类这里用于查找‘’也就是字符串的父类。这里看到这个猜测是通过get传入secret的值然后会机密我们的值。

可以猜测做了过滤这里可以bp跑一下看过滤了哪些尝试发现过滤了空格/**/在sql中代表注释符在mysql中这个可以用来代表空格发现--+被过滤#也不行我们试下url编码的#也就是%23成功了3个字段得到库名test_db这里提示非法操作经过尝试发现=被过滤在sql中like用于判断一个字符串是否匹配某个模式这里要在3的字段不然会报错?这里和之前的sql一样就不详细解释了如果不知道可以去看第8篇里面详细讲了这里就把空格换成了/**/和把=换成了like?在查询flag。

参数是wllm这里直接‘ or 1 = 1 --+ 虽然返回了但没用通过’ order by 1 --+判断字段 发现order by 4时报错得到有3个字段通过‘ union select 1,2,3 --+ 发现2 ，3会显示在页面上通过‘ union select 1,database(),3 --+ 查询当前数据库库名得到库名为test_db。

这里通过nssctf的题单入门来写，会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列，之后会一直出这个题单的解析，题目一共有28题，打算写10篇。

这里通过nssctf的题单入门来写，会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列，之后会一直出这个题单的解析，题目一共有28题，打算写10篇。

这里通过nssctf的题单入门来写，会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列，之后会一直出这个题单的解析，题目一共有28题，打算写10篇。

这里通过nssctf的题单入门来写，会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列，之后会一直出这个题单的解析，题目一共有28题，打算写10篇。

这里通过nssctf的题单入门来写，会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列，之后会一直出这个题单的解析，题目一共有28题，打算写10篇。

这里通过nssctf的题单入门来写，会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列，之后会一直出这个题单的解析，题目一共有28题，打算写10篇。

这里通过nssctf的题单web安全入门来写，会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列，之后会一直出这个题单的解析，题目一共有28题，打算写10篇。