Python SSTI 的总结笔记, 不定期更新 目前大都是基于 Flask 环境复现, 其它环境后续会填坑 文章里的所有 payload 都是自己手工复现过的 前言大部分的 payload 入口点都...
2023年第八届上海市大学生网络安全大赛 / 磐石行动 CTF WriteUp
引言 第八届上海市大学生网络安全大赛 暨“磐石行动”2023(首届)大学生网络安全邀请赛 —— CTF比赛 2023.5.20 9:00 - 21:00 —— 漏洞挖掘比赛 2023.5.21 00:...
详解Flask框架SSTI攻击的利用与绕过技巧
Flask是一个使用 Python 编写的轻量级 Web 应用框架。其 WSGI 工具箱采用 Werkzeug ,模板引擎则使用 Jinja2 。Flask使用 BSD 授权。Flask也被称为 “m...
CTF中SSTI漏洞的简单利用
前言前段时间参加比赛的时候,碰到了一个jinja模版注入的题目,于是想着借这个机会好好总结一下模版注入的知识于是便有了这篇文章。SSTI注入简介什么是SSTI注入SSTI模板注入(Server-Sid...
一文了解SSTI和所有常见payload 以flask模板为例
一文了解SSTI和所有常见payload 以flask模板为例前言做的ctf题里有好几道跟SSTI有关故对SSTI进行学习在此做个小结与记录主要是flask模板后面遇到别的模板再陆续记录1、什么是SS...
【技术分享】浅析Python SSTI/沙盒逃逸
前言之前也接触过什么是SSTI,但大多以题目进行了解,很多模块以及payload都不了解其意就直接拿过来用,感觉并没有学到什么东西,最主要的是在绕过的过程中,不清楚原理没有办法构造,这次就好好来学习一...
Web安全之python模板注入实战
hello各位亲爱的读者们,本期小编要给大家带来的漏洞介绍是python的模板注入,实战环境是攻防世界(https://adworld.xctf.org.cn/)web高阶题目Web_python_t...