![](https://img-blog.csdnimg.cn/20201014180756913.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
ssti模板注入
文章平均质量分 50
ssti
fmyyy1
最废物的web手
展开
-
[GYCTF2020]Ez_Express
提示要用admin登录,注册个账号登录看到源码里有提示。 后端是用js写的,慢慢审计吧。 #app.js var createError = require('http-errors'); var express = require('express'); var path = require('path'); var cookieParser = require('cookie-parser'); var logger = require('morgan'); const session = requ.原创 2021-04-22 17:45:31 · 207 阅读 · 0 评论 -
[SCTF2019]Flag Shop
场景 第一反应是修改价格或者修改钱的数量,抓包。 将cookie用jwt解码一下 将jkl修改成价格后编码发送没有反应。应该还缺点什么。参考wp,访问robots.txt,看到/filebak require 'sinatra' require 'sinatra/cookies' require 'sinatra/json' require 'jwt' require 'securerandom' require 'erb' set :public_folder, File.dirname(__FI原创 2021-04-20 08:12:09 · 455 阅读 · 0 评论 -
[CISCN2019 华东南赛区]Double Secret
场景 刚开始就被卡住了,给的场景跟空白页没有差别了,源码下载不到,路径扫到个robots.txt但内容没有什么用,太菜了只能看大佬的wp。 原来secret页面是可以访问的。 这里要传参,然后提示会加密。 传大点就会报错 泄露了一点源码 if(secret==None): return 'Tell me your secret.I will encrypt it so others can\'t see' rc=rc4_Modified.RC4("HereIsTrea原创 2021-04-15 15:59:52 · 244 阅读 · 0 评论 -
[RootersCTF2019]I_<3_Flask
场景 猜测是jinja2的模板注入,用Arjun工具爆破参数 下载地址 找到了参数name 传参?name={{7*'7'}},注入成功 这题没有过滤,直接用常规的注入语句即可 ?name={% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').pop原创 2021-04-15 08:50:12 · 695 阅读 · 0 评论 -
[CSCCTF 2019 Qual]FlaskLight
场景 根据题目提示,应该是flask模板注入题。 看源码 提示用get传参,直接传?search={{7*‘7’}} 证明是flask模板注入。 先找类 ''.__class__.__mro__ 爆出ojbect的所有子类 ''.__class__.__mro__[2].__subclasses__() 试了一些常规payload都不行,参考了wp,过滤了globals,可以用字符串拼接。 warnings.catch_warnings 用脚本找到这个类的位置为59, {{''.__class__原创 2021-04-08 14:33:30 · 168 阅读 · 2 评论