Simple_SSTI_1WEB 未解决
分数:
5
金币:
2
题目作者:
valecalida
一 血:
dotast
一血奖励:
2金币
解 决:
28675
提 示:
描 述:
Simple_SSTI_1
评分(50)
解题动态
scv 攻破了该题 20小时前
xiaoxiaojiangshi 攻破了该题 1天前
一只小白鲸 攻破了该题 2天前
xyqsin 攻破了该题 2天前
flag大王 攻破了该题 2天前
Soraha 攻破了该题 6天前
0xchang 攻破了该题 7天前
chenzhong 攻破了该题 9天前
猛狗突击 攻破了该题 10天前
kiritoldws 攻破了该题 10天前
WYYYYTT 攻破了该题 11天前
等往事风中吹‘ 攻破了该题 11天前
213qwe 攻破了该题 11天前
muerjing 攻破了该题 12天前
有点易斯但不多 攻破了该题 12天前
AzKanna 攻破了该题 13天前
baka 攻破了该题 13天前
wes 攻破了该题 14天前
kangwendong 攻破了该题 15天前
评论
kingx3 2年前
举报
SSTI全称Server side template injection.服务端模板注入.这节课主要讲flask的模板注入.flask会把类似于 {]的变量当做参数来渲染并填充到web页面,如果该参数可控并被后台解析则有可能被注入恶意代码导致注入漏洞.模板注入只会存在于二次渲染中,无二次渲染不会出现模板注入。
kingx3 2年前
举报
Flask是python语言下的轻量级web应用框架,可以用来开发一些简单的网站。它使用Jinjia2渲染引擎(将html文件存放在templates文件夹中,当访问指定路由时,flask会渲染出相应的html页面)。 但是html文件中不一定都是html语言,Jinjia2引擎支持html文件中内嵌{{}}来使用特定的变量,或者使用{%%}来执行python语句。因此,就会导致模板注入SS
冷夜闻风 2年前
举报
flag{e0ad0234936fcd15f11c7bb0f9d587e7}
啵咯啵咯 2年前
举报
在网址后面加上: /?flag={{config.SECRET_KEY}}
Ysamer 2年前
举报
这是什么原理
大哥大 2年前
举报
為什麼
鸡你太美 2年前
举报
flag{96df90d0f913f6e960b78dfb42e23bce}
鸡你太美 2年前
举报
传入一个变量?flag={{config}}
19572987849 2年前
举报
SECRET_KEY
ctfjingsai 2年前
举报
flag{32b9d809b374a1916bc2aca5af1d2e11}
wuweiw 2年前
举报
http://114.67.175.224:19724/?flag={{%20config.SECRET_KEY}}
wukong20618 2年前
举报
flask的模板注入:(注意:这里的SECRET_KEY需要大写)