题目描述

Simple_SSTI_1

Solution

观察题目源代码,我们发现这是用 flask 框架编写的网站,通常它们还会设置一个secret_key变量:

001-1.png

题目提示我们要传一个参数,我们使用 GET 请求在 URL 后面传递参数,可以发现网站仅仅只是把它回显了出来:

001-2.png

查阅资料可知,flask 框架的底层模板引擎是 jinja2,它有一些独特的变量替换语法:

  • 控制结构{% %}
  • 变量取值{{}}
  • 注释{# #}

同时我们切换到国际版的 Bing,搜索flask secrst_key等关键字,观察搜索结果:

001-3.png

我们可以联想到这个 Web app 可能有一个全局的config变量。我们尝试构造一下 URL:

001-4.png

Bingo!