Simple_SSTI_1WEB 未解决
分数:
5
金币:
2
题目作者:
valecalida
一 血:
dotast
一血奖励:
2金币
解 决:
28736
提 示:
描 述:
Simple_SSTI_1
评分(50)
解题动态
everystep 攻破了该题 15小时前
爱喝畅汁 攻破了该题 15小时前
Tylione 攻破了该题 1天前
lx723823 攻破了该题 2天前
Asher 攻破了该题 2天前
hyj11125 攻破了该题 2天前
时倾77 攻破了该题 2天前
Aurora* 攻破了该题 3天前
lizhibin 攻破了该题 3天前
lee8ly 攻破了该题 3天前
Sonetto 攻破了该题 3天前
Wendmin 攻破了该题 3天前
lmz123 攻破了该题 3天前
CD123456 攻破了该题 3天前
3121834271 攻破了该题 4天前
SamJij 攻破了该题 4天前
林蔓露 攻破了该题 6天前
Ash_1070 攻破了该题 6天前
Aromatic 攻破了该题 7天前
评论
kingx3 2年前
举报
SSTI全称Server side template injection.服务端模板注入.这节课主要讲flask的模板注入.flask会把类似于 {]的变量当做参数来渲染并填充到web页面,如果该参数可控并被后台解析则有可能被注入恶意代码导致注入漏洞.模板注入只会存在于二次渲染中,无二次渲染不会出现模板注入。
kingx3 2年前
举报
Flask是python语言下的轻量级web应用框架,可以用来开发一些简单的网站。它使用Jinjia2渲染引擎(将html文件存放在templates文件夹中,当访问指定路由时,flask会渲染出相应的html页面)。 但是html文件中不一定都是html语言,Jinjia2引擎支持html文件中内嵌{{}}来使用特定的变量,或者使用{%%}来执行python语句。因此,就会导致模板注入SS
冷夜闻风 2年前
举报
flag{e0ad0234936fcd15f11c7bb0f9d587e7}
啵咯啵咯 2年前
举报
在网址后面加上: /?flag={{config.SECRET_KEY}}
Ysamer 2年前
举报
这是什么原理
大哥大 2年前
举报
為什麼
鸡你太美 2年前
举报
flag{96df90d0f913f6e960b78dfb42e23bce}
鸡你太美 2年前
举报
传入一个变量?flag={{config}}
19572987849 2年前
举报
SECRET_KEY
ctfjingsai 2年前
举报
flag{32b9d809b374a1916bc2aca5af1d2e11}
wuweiw 2年前
举报
http://114.67.175.224:19724/?flag={{%20config.SECRET_KEY}}
wukong20618 2年前
举报
flask的模板注入:(注意:这里的SECRET_KEY需要大写)