CTF之路:关于Flask模板注入

VIP文章 于 2022-01-07 11:33:22 发布
阅读量5.7k 收藏 27
点赞数 8
分类专栏: 知识点 文章标签: flask CTF 安全 flask模板注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zw05011/article/details/122359928
版权

1.题目

题目叫Simple SSTI
打开网页,显示.
在这里插入图片描述SSTI,即服务器端模板注入。

2.知识点

flask基础

在学习SSTI之前,先把flask的运作流程搞明白。这样有利用更快速的理解原理。
路由

先看一段代码

from flask import flask
@app.route(’/index/’)
def hello_word():
return ‘hello word’

route装饰器的作用是将函数与url绑定起来。例子中的代码的作用就是当你访问http://127.0.0.1:5000/index的时候,flask会返回hello word。

渲染方法

flask的渲染方法有render_template和render_template_string两种。
render_template()是用来渲染一个指定的文件的。使用如下
return render_template(‘index.html’)
render_template_string则是用来渲染一个字符串的。SSTI与这个方法密不可分。

使用方法如下

html = '<h1>This is index page</h1>'
return render_template_string(html)

模板

flask是使用Jinja2来作为渲染引擎的。看例子

在网站的根目录下新建templates文件夹,这里是用来存放html文件。也就是模板文件。

test.py

from flask import Flask,url_for,redirect,render_template,render_template_string
@app.route('/index/')
def
最低0.47元/天 解锁文章
zw05011
关注
  • 8
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值