近日份CTF(2022.11.8)

最新推荐文章于 2024-02-04 21:26:42 发布
最新推荐文章于 2024-02-04 21:26:42 发布
阅读量831 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45440843/article/details/127752791
版权

WEB题目:

Simple_SSTI_1

题目解释为简单模板注入

打开url后发现没有任何提示,查看源代码有一行提示

You know, in the flask, We often set a secret_key variable.

可知框架类型为Flask

flask基础语法

{%......%}

{{......}}

{#......#}

经过尝试发现此题目使用{{}} 进行回显

config是Flask模板中的一个全局变量,包含了所有应用程序配置的值

创建payload

?flag={{config}}

便可得到flag‘

 

无敌国外患者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Bugku解题 web (一)
weixin_46703850的博客
03-22 1万+
Bugku解题 web (一)
CTF之路:关于Flask模板注入
zw05011的博客
01-07 5738
题目 题目叫Simple SSTI 打开网页,显示You need pass in a parameter named flag. SSTI,即服务器端模板注入。
Bguku CTF 每日一题 Simple_SSTI_1
彼岸花苏陌的博客
01-13 614
Simple_SSTI_1 进入场景 发现出现了提示 要我们输入flag为参数 输入后发现显示了 因为题目提示是SSTI,于是输入{{2*4}} 发现得到了8 确定存在SSTI 但是仅仅如此 按下f12 发现注释里有提示 You know, in the flask, We often set a secret_key variable. 所以说是flask模板注入 注释提示我们去找变量 于是就传flag={{config}} 从返回找到答案 ...
ctf bugku
weixin_51387754的博客
08-13 1821
bugkuSimple_SSTI_1社工-进阶收集Simple_SSTI_2Flask_FileUpload1和0的故事easy_nbt留言板瑞士军刀入门逆向滑稽canarytelnet眼见非实啊哒/.-聪明的小羊ok[+-<>] Simple_SSTI_1 查看源码 You need pass in a parameter named flag。 You know, in the flask, We often set a secret_key variable 您需要传入一个名为flag
Bugku、i春秋解题 web wp(一)
m0_55854679的博客
05-14 769
Simple_SSTI_1(python模板注入) 启动常见后只有一行字母,我们什么也看不出来。点击右键,查看网页源代码 倒数第三行绿色的字 <!-- You know, in the flask, We often set a secret_key variable.--> 意思是 你知道,在flask一个Python编写的Web 微框架,让我们可以使用Python语言快速实现一个网站或Web服务。】里,我们经常设置一个secret_key变量,所以我们要读secret_key变量,导
CTF例题.zip
10-31
CTF例题.zip 里面有分类的几道ctf经典题型,可以拿来练练手,网上都能找到答案
2021 N1CTF CTF 真题.zip
12-07
2021 N1CTF CTF 真题
LAMPSECURITY CTF6.pdf
12-26
## LAMPSECURITY: CTF6 - ### About Release [Back to the Top](https://www.vulnhub.com/entry/lampsecurity-ctf6,85/#top) - **Name**: LAMPSecurity: CTF6 - **Date release**: 29 Jun 2009 - **Author**: ...
网络安全 CTF 入门.pdf
07-09
网络安全 CTF 入门
Imaginary CTF 2022 真题
08-01
https://2022.imaginaryctf.org/Challenges
SSTI注入——python的ssti
wwwwyyyrre的博客
06-05 831
python里的运用最多的应该就是flask模板注入 也可以直接用tplmap自动化注入来找到ssti的注入点python21.2.3.4.5.6.python31.2.
flask框架(二)
m0_43416037的博客
12-23 88
flask框架(二)1.cookie(掌握)掌握的内容需要会敲。解释:用来保持服务器和浏览器交互的状态。有服务器设置,存储在浏览器里面。作用:用来做广告的推送。cookie的设置和获取设置...
BUGKU-WEB Simple_SSTI_1
最新发布
天泽岁月
02-04 2166
BUGKU 第02题
BugKU-web-Simple_SSTI_1
qq_60905276的博客
10-24 1755
1.查看源代码,发现是模板注入 ps.这里针对的是flask模板configflask模板一个全局对象包含了所有应用程序配置。 2.由源代码得知要传入一个参数且在flask框架flag在secret_key下 输入?flag={{config.SECRET_KEY}} ...
十八、bugku Simple_SSTI_1
山兔的博客
09-06 538
ssti主要为python的一些框架 jinja2 mako tornado django,PHP框架smarty twig,java框架jade velocity等等使用了渲染函数时,由于代码不规范或信任了用户输入而导致了服务端模板注入,模板渲染其实并没有漏洞,主要是程序员对代码不规范不严谨造成了模板注入漏洞,造成模板可控。 http://114.67.246.176:10828/?flag={{config}} ?flag={{config.SECRET_KEY}} {{}}是变量包裹标识符。{{}
ctfflask模板注入config、current_app、url_for和get_flashed_messages(转自浩哥)
qq_45290991的博客
09-05 1258
题目 过程 1.使用tplmap,发现有ssti注入 ./tplmap.py --os-shell -u 'http://www.target.com/page?name=John' 2.题目源码: import flask import os app = flask.Flask...
Flask框架生成SECRET_KEY密钥——防御CSRF攻击方法之一
我愿做一个聆听者,以学习为伴!
01-05 2587
一、遇到RuntimeError: The session is unavailable because no secret key was set.错误时,原因就是没有设置secret_key ,在代码加上 app.config['SECRET_KEY']='XXX' 或者 app.secret_key='XXX' SECRET_KEY最好不要写在代码。最好设置一个config.py文件...
flask - 生成 secret key
热门推荐
不要说话的博客
02-05 1万+
flask项目,Session, Cookies以及一些第三方扩展都会用到SECRET_KEY,这是一个比较重要的配置。 在使用flask时,我产生了这个错误:the session is unavailable because no secret key was set. Set the secret_key on the application to something uniq
Flask使用TensorFlow的几个常见错误
渣渣的夏天
07-11 1万+
Flask使用TensorFlow的几个常见错误 1. ValueError: Tensor Tensor(“dense_1/Sigmoid:0”, shape=(?, 1), dtype=float32) is not an element of this graph.   在Flask使用tensorflow的model,一在界面调用 model.predict() 就报下面这个错误,不...
ctf node.js
09-28
ctf node.js 是指在进行CTF(Capture The Flag)比赛使用Node.js技术。Node.js是一个基于JavaScript的开发平台,可以用于构建高性能的网络应用程序。在CTF比赛,可以使用Node.js来开发和实现各种类型的挑战和攻击技术。 在Node.js,可以使用各种模块和库来进行CTF挑战,比如文件系统模块(fs)可以用于读取和写入文件,子进程模块(child_process)可以用于创建和管理子进程,还可以使用cookie-parser模块来解析和处理HTTP请求的Cookie等等。这些模块和库提供了丰富的功能和接口,可以帮助我们更好地进行CTF挑战和攻击。 例如,通过使用fs模块可以读取和写入文件,可以在CTF比赛用于读取敏感信息或者修改配置文件。子进程模块可以创建和管理子进程,可以在CTF比赛用于执行系统命令或者调用外部程序。而cookie-parser模块可以解析和处理HTTP请求的Cookie,可以在CTF比赛用于获取用户的身验证信息或者修改Cookie的

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值