攻防世界之Web_python_template_injection （web进阶） - 代码天地

攻防世界之Web_python_template_injection （web进阶）

企业开发 2023-10-02 19:22:41 阅读次数: 0

考点： python模板漏洞

打开后，看到提示：python template injection（python模板注入）
更改URL，得到回显。
在这里插入图片描述
表明存在漏洞。传入参数config。得到回显。

发现没有有效消息。更改传入参数。

发现传入的命令“ls”得到执行，且发现文件fl4g。
命令解释：

命令效果为执行popen()函数内的命令。
其中：
1、__ class__ _:查看变量所属的类
2、 __ init __ :初始化类，返回function
3、 __ globals __ : 获取function所处空间下可使用的module、方法以及所有变量
4、os.popen() 从一个命令打开一个管道

读取fl4g文件。
在这里插入图片描述

猜你喜欢

转载自blog.csdn.net/my_name_is_sy/article/details/125516418

攻防世界之Web_python_template_injection （web进阶）

攻防世界 Web_python_template_injection

攻防世界web进阶区Web_python_template_injection

Web_python_template_injection攻防世界ctf web

攻防世界高手进阶之Web_python_template_injection

[wp] Web_python_template_injection 攻防世界

[wp] 攻防世界 Web_python_template_injection

攻防世界-Web_python_template_injection题

攻防世界 Web_python_template_injection wp

XCTF Web_python_template_injection

2020.3.31 xctf(Web_python_template_injection)①

攻防世界 web高手进阶区 9分题 Web_python_flask_sql_injection

攻防世界WEB进阶之FlatScience

攻防世界WEB进阶之Cat

攻防世界WEB进阶之lottery

攻防世界WEB进阶之NewsCenter

攻防世界-Web(进阶区)

记录攻防世界web进阶

攻防世界之Web_php_unserialize（web进阶）

攻防世界WEB高手进阶之blgdel

攻防世界WEB进阶之upload1

攻防世界WEB进阶之Training-WWW-Robots

攻防世界之Training-WWW-Robots（web进阶）

攻防世界之ics-06（web进阶）

攻防世界之PHP2（web进阶）

XCTF攻防世界web进阶练习—mfw

攻防世界-WEB进阶篇（一）

攻防世界web进阶区（1）

攻防世界 — Web进阶题(第11

攻防世界----（web进阶）FlatScience--WP

今日推荐

《美国对全球网络空间安全与发展的威胁和破坏》报告发布

火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱？

北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”

LFOSSA 源来如此公开课 | 掌握云原生未来：CNCF 认证全面攻略与备考秘籍

周排行

循环神经网络（rnn）讲解

Tigao教程四：单独的关节运动

金蝶K3WISE15.0-注册套打教程

如何在Mac上配置Kubernetes

Android应用结束自身进程的方法

SpringMVC学习十三拦截器栈

中国驻洛杉矶总领馆举行新春招待会

HttpClient get post 发送

11 - three.js 笔记 - 绘制三维字体模型

Mysql递归获取某个父节点下面的所有子节点和子节点上的所有父节点

每日归档

更多

2024-05-01(4)

2024-04-30(1)

2024-04-29(40)

2024-04-28(0)

2024-04-27(56)

2024-04-26(39)

2024-04-25(22)

2024-04-24(36)

2024-04-23(26)

2024-04-22(39)