• 2024-11-20SSTI(模板注入)
    SSTI:SSTI(Server-SideTemplateInjection)即服务端模板注入,它是一种安全漏洞攻击技术。当应用程序在服务器端使用模板引擎来呈现动态生成的内容时,如果用户可以控制模板引擎的输入,就可能导致SSTI漏洞。服务端接收攻击者的恶意输入以后,未经任何处理就将其作为Web应用模板内
  • 2024-07-23CTF-SSTI模板注入
    SSTI就是服务器端模板注入(Server-SideTemplateInjection)当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结
  • 2024-05-29模板注入&沙箱逃逸
    模板注入SSTI服务端模板注入一、什么是SSTI首先web服务的实现中使用了模板引擎,并且将参数传递的值当作模板一部分进行渲染(渲染这个词可能有点抽象,可以简单理解为将参数作为代码的一部分解释并执行了),这就是SSTI,服务端模板执行。模板注入原理服务端可以使用哪些模板引擎?由于
  • 2023-12-28Python中__init_subclass__特殊方法
    __init_subclass__是Python3.6引入的一个特殊方法,用于在子类被定义时执行一些操作。这个方法允许你在父类中定义一个类方法,当子类继承父类时会自动调用这个方法,你可以在其中进行一些初始化工作。以下是关于__init_subclass__方法的一些重要点:目的:__init_subclass__方
  • 2023-10-15SSTI模版注入
    SSTI模版注入模板引擎​ 模板引擎是为了使用户界面与业务数据分离而产生的,他可以生成特定格式的文档,利用模版引擎来生成前端的html代码,模版引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生产模版+用户数据的前端html页面,然后反馈给浏览器,呈
  • 2023-02-12HSCSEC CTF 2023部分WP
    EZSSTI?name={{''.__class__.__mro__[-1].__subclasses__()}}查看所有子类fromrequestsimport*foriinrange(300):url="http://4dcc7f0f-0e07-49e1-b2c8-b9c
  • 2022-11-19CTF模板注入入门学习
    对于知识框架的了解,站在巨人的肩膀梭哈大佬文章,很全很nice:https://blog.csdn.net/LYJ20010728/article/details/120205725?ops_request_misc=%257B%2522request%255Fid%25
  • 2022-10-25周练7(ssti)
     {7*7}->49->smarty{{7*'7'}}->49->twig{{7*'7'}}->7777777->jinjia21.[BJDCTF2020]Cookieissostable1(smarty模板)尝试输入数据,结果就是输入什么
  • 2022-10-23ssti模板注入
    ssti模板注入介绍SSTI就是服务器端模板注入(Server-SideTemplateInjection),实际上也是一种注入漏洞。ssti和sql注入的思路相似,所以可以类比分析。漏洞原理render_tem