qq_63928796的博客

function需要自己寻找正在上传…重新上传取消︷︷().

过滤了flag可以用*或者?绕过。

SSTI，又称服务端模板注入攻击。jinja2模板中使用{}语法表示一个变量，它是一种特殊的占位符。当利用jinja2进行渲染的时候，它会把这些特殊的占位符进行填充/替换。但是在进行目标编译渲染的过程中，执行了用户插入的恶意内容，因而可能导致了敏感信息泄露、代码执行、GetShell等问题首先看一下__class__用python试一下输出了 说明''是str类另外还有其他类型str(字符串)、dict(字典)、tuple(元组)、list(列表)，这些类型的基类都是object，...

0x01 信息收集拿到一个网站最重要的当然是收集信息，收集到的信息决定了渗透的方向。我在这个网站收集到了如下信息：0x02 unicode欺骗下载源代码进行代码审计，首先对routes.py进行审计如下发现注册和登录以及修改密码处只是对数据进行了小写化，而且奇怪的是小写化函数用的不是python自带的，而是自己封装的，直觉告诉我这里存在问题。于是看一下这个函数是如何封装的 如下nodeprep.prepare这个方法是将大写字母转换成小写字母，但是它存在一个问题：它会将unicode编码的ᴬ转化

伪协议读取后base64解密?

Seay审一下啥也没有，直接上手看在checklogin.php中sql语句中，username没有过滤而产生的sql注入漏洞登录成功拿到flag。

web1右键查看源码得到flagweb2禁用了右键，可以ctrl+u查看源码得到flagweb3抓包得到flag[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MJqqnzT8-1672724024637)(ctfshow信息搜集.assets/image-20230103110640937.png)]web4题目提示在robots中，可以用dirsearchweb2禁用了右键，可以ctrl+u查看源码得到flagweb3抓包得到flag

看源码发现/admin放问/admin在cookie生成了把他用jwt解密在alg中是None所以是无加密，吧user改为admin再base64加密即可。

这里就是原型链污染，参考：https://www.leavesongs.com/PENETRATION/javascript-prototype-pollution-attack.html#0x02-javascript。只要满足secert.ctfshow==='36dboy’就可以了，前面有一个copy函数，可以与链接文章里面的merge函数类比.附件给了user.js和login.js，user.js告诉了用户名和密码。和上一题一样，但上一题的payload不能用了。a 和 b 的长度相等。

无过滤，直接去访问本地的flag.php。

打开题目是一个很好的购买页面下面可以发现我们需要的flag但是钱不够，所以我们要想办法修改金币，之后观察点击中间的图片可以下载先拦截一下发现image可以试试用这个方法去访问一下目录确实可以穿越目录下载passwd，但只得到一些没有的配置信息我们的目的是修改金钱，金钱的信息就存在session里所以想办法修改session就需要找SECRET_KEY去python的环境变量找一下发现SECRET_KEY就可以修改sessionpython3 flask_session_cookie_manager3.py