渗透学习-23- WEB 攻防-Python 考点&amp；CTF 与 CMS-SSTI 模版注入&amp；PYC 反编译

文末有福利领取哦~

👉一、Python所有方向的学习路线

Python所有方向的技术点做的整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。

👉二、Python必备开发工具

👉三、Python视频合集

观看零基础学习视频，看视频学习是最快捷也是最有效果的方式，跟着视频中老师的思路，从基础到深入，还是很容易入门的。

👉 四、实战案例

光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这时候可以搞点实战案例来学习。（文末领读者福利）

👉五、Python练习题

检查学习结果。

👉六、面试资料

我们学习Python必然是为了找到高薪的工作，下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料，并且有阿里大佬给出了权威的解答，刷完这一套面试资料相信大家都能找到满意的工作。

👉因篇幅有限，仅展示部分资料，这份完整版的Python全套学习资料已经上传

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化学习资料的朋友，可以戳这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

#PY 反编译-PYC 编译文件反编译源码

pyc 文件是 py 文件编译后生成的字节码文件(byte code)，pyc 文件经过 python 解释器最终会生成机
器码运行。因此 pyc 文件是可以跨平台部署的，类似 Java 的.class 文件，一般 py 文件改变后，都会
重新生成 pyc 文件。
真题附件：http://pan.baidu.com/s/1jGpB8DS

反编译平台：
https://tool.lu/pyc/
http://tools.bugscaner.com/decompyle/
反编译工具：https://github.com/wibiti/uncompyle2

#SSTI 入门-原理&分类&检测&分析&利用

1、什么是 SSTI？有什么漏洞危害？

一般都是代码审计发现，黑盒很难，，， 目前用处不大，暂时可忽略。。

漏洞成因就是服务端接收了用户的恶意输入以后，未经任何处理就将其作为 Web 应用模板内容的
一部分，模板引擎在进行目标编译渲染的过程中，执行了用户插入的可以破坏模板的语句，因而可
能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。

模板引擎（这里特指用于Web开发的模板引擎）是为了使用户界面与业务数据（内容）分离而产生的，它可以生成特定格式的文档，利用模板引擎来生成前端的html代码，模板引擎会提供一套生成html代码的程序，然后只需要获取用户的数据，然后放到渲染函数里，然后生成模板+用户数据的前端html页面，然后反馈给浏览器，呈现在用户面前。

举个例子，我想买裙子，这时候我会打开某宝，直接在搜索框输入“裙子”，就会出现跟裙子相关的一系列商品，各种颜色，各种样式。那我们来想一下，这么多商品的各种信息是直接全部写死在页面上的嘛？那我们每次查找的商品都不一样，需要的内存就太大了

很显然，并不是，所以这里就体现了我们模板引擎的作用，它可以根据从数据库中实时提取出来的数据对html页面实时的渲染，这，就是模板引擎。

漏洞成因就是服务端接收了用户的恶意输入以后，未经任何处理就将其作为 Web 应用模板内容的一部分，模板引擎在进行目标编译渲染的过程中，执行了用户插入的可以破坏模板的语句，因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。

2、如何判断检测 SSTI 漏洞的存在？

-输入的数据会被浏览器利用当前脚本语言调用解析执行
用户输入的东西一定要被执行

3、SSTI 会产生在那些语言开发应用？

-见上图

4、SSTI 安全问题在生产环境那里产生？

-存在模版引用的地方，如 404 错误页面展示
-存在数据接收引用的地方，如模版解析获取参数数据

有接收数据并执行渲染的地方。 比如 xxx.com/x.php?404_url=54 这个54如果被执行，来渲染新的页面， 新的页面显示的是5*4被执行后的结果。。

### 一、Python所有方向的学习路线

Python所有方向路线就是把Python常用的技术点做整理，形成各个领域的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。



![](https://img-blog.csdnimg.cn/img_convert/9f49b566129f47b8a67243c1008edf79.png)



### 二、学习软件

工欲善其事必先利其器。学习Python常用的开发软件都在这里了，给大家节省了很多时间。



![](https://img-blog.csdnimg.cn/img_convert/8c4513c1a906b72cbf93031e6781512b.png)



### 三、入门学习视频



我们在看视频学习的时候，不能光动眼动脑不动手，比较科学的学习方法是在理解之后运用它们，这时候练手项目就很适合了。



![](https://img-blog.csdnimg.cn/afc935d834c5452090670f48eda180e0.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA56iL5bqP5aqb56eD56eD,size_20,color_FFFFFF,t_70,g_se,x_16#pic_center)




**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化学习资料的朋友，可以戳这里获取](https://bbs.csdn.net/topics/618317507)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**