2021虎符CTF 线下赛 Web Write Up 2021-5-18 10:05 | 14 | 0 | 比赛游记,爱晚亭 1005 字 | 31 分钟 本文首发于安全客:https://www.anquanke.com/post/id/239993 easyflask 从/proc/self/environ 获取环境变量发现里面有secret_key可以拿这个secret_key伪造session,从而触发源码中的pickle反序列化实现RCE Exp import base64 import p… CTFWrite Up