Intrasight

先是看题目源码说有公开的服务

然后这里找到有一段说有个fetch端点

GlyphWeaver

看到模板渲染，直接想到SSTI

然后尝试注入，输入7*7看回显，发现被waf了

然后源代码给出了提示，说是jinja2模板注入，是比较常见的

标题上还有个提示说，中日韩友好

上网搜了一下，说这是NFKC，全角符号会被折叠成半角，那就意味着，SSTI外面的{{}}可以使用全角符号来代替，这样就能够绕过SSTI的waf，不被识别出来，而根据实践也确实是这样，全角符号被转换成了半角

但是这里并没有看到预期的结果，没有被转化，后面在导出任务里看到了，分为第一阶段和第二阶段

所以写好了payload然后二阶段导出任务，这里直接替换payload完成后下载HTML页面即可，flag在根目录

1	｛｛cycler．＿＿init＿＿．＿＿globals＿＿．＿＿builtins＿＿．open（'/flag'）．read（）｝｝