ASCII-конвертер на первый взгляд — обычный инструмент. Первая гипотеза: CMD Injection. Проверка payload {{ 7*7 }} вернула 49 — перед нами Jinja2 и классический SSTI.Server-Side Template Injection позволяет взаимодействовать с подклассами Python напрямую. Через {{ [].__class__.__base__.__subclasses__() }} получаем список доступных классов. На индексе 137 — os._wrap_close: класс из модуля os...
Web | Конвертер | HackerLab
Источник: codeby.net