Web
input_data
就是一个简单是svn泄露
直接在pristine/57/中即可找到
Admin
通过爆错和提示可以确定是Thymeleaf 模板注入命令执行
参考资料:
https://zhuanlan.zhihu.com/p/248416919
https://xz.aliyun.com/t/9826?u_atoken=b9d5b4c8f462ecf95b3441b560c7c2f1&u_asig=0a472f9217269846318181351e004c&time__1311=QqRx2iDtvx0Dlx%3DGkDRDjrp8D8Il3%2B5qx
爆破得到注入路径至于参数是我不断尝试网上资料的参数试出来的
对大括号进行编码
Payload:
?path=$%7Dnew java.util.Scanner(T(java.lang.Runtime).getRuntime().exec("cat /flag").getInputStream()).next()%7D::x
Flask
附件如下
看其过滤
字母留了c并且可用数字
我们可以想到格式化字符,进行任意文件读取
"%c%c%c%c%c"%(47,102,108,97,103)
"%c%c%c%c%c" 是一个格式化字符串,它会被填充成五个字符。
对应的 ASCII 值 (47, 102, 108, 97, 103) 分别对应:
47 → /
102 → f
108 → l
97 → a
103 → g
格式化后结果是 "/flag"。
Payload:
?evalme="%c%c%c%c%c"%(47,102,108,97,103)
如此多的FLAG
查看源码
得到文件
访问后得到提示查看cookie
又得到一个新的文件名
查看得源码
就是简单的一个X,Y先绕过一下(is_numeric()绕过和md5绕过)
后面Z这过滤的太多
但是我们能用 base_convert 函数
我们可以直接给Z赋值base_convert(55490343972,10,36)(),也就是phpinfo()
这里进行执行
但是我们要得到flag
但是有长度限制
我们只能进行变量覆盖
完成
从而得到flag
Payload:
?X=10001a&Y=0e807097110&Z=$f1ag=base_convert(727432,10,36)