Flask
nigo134
菜鸡一个,入门web安全 、、、
展开
-
2021-08-03
知识点: FLASK SSTI ssti绕过 pin生成 题目已经提示是flask,直接找一下好注入的地方看看。 页面很简洁,就是一个base64加解密的站点。 输入框应该就是ssti的注入点,不是加密就是解密输入框。 但是一般来说加密框把数据加密,就不会执行代码了,所以应该可以注入的点在解密框。简单的测试一下,输入{{7+7}},加密结果如下。将其解密。 有计算结果出现。说明确实存在ssti注入可用,接下来尝试读取源码来明确具体的waf。 {% for c in转载 2021-08-03 23:46:29 · 81 阅读 · 0 评论 -
NO.2-21 [SUCTF 2019]Pythonginx*
nginx配置 配置文件存放目录:/etc/nginx 主配置文件:/etc/nginx/conf/nginx.conf 管理脚本:/usr/lib64/systemd/system/nginx.service 模块:/usr/lisb64/nginx/modules 应用程序:/usr/sbin/nginx 程序默认存放位置:/usr/share/nginx/html 日志默认存放位置:/var/log/nginx 配置文件目录为...转载 2021-08-01 17:36:50 · 115 阅读 · 0 评论