2020/09/06

发布于 2020-09-06  96 次阅读


[BJDCTF 2nd]fake google

前言:ssti注入

教程链接

这篇文章较详细地讲解了ssti的原理和对应可以使用的工具,确实香。

解题:

那么访问这个页面的时候,我们可以看见一个假谷歌,看起来挺逼真的。随便输入点东西,跳转后访问控制台可以看见

ssssssti & a little trick

说明了这是个ssti注入,那么这题用工具解的话就会很简单,按照教程中的做法下载好工具,

python2 tplmap.py -u 'http://82aec3b4-6c3d-4736-9b29-b24aa57d772b.node3.buuoj.cn/qaq?name=233'

可以看见工具告诉我们是jinja2的ssti

那么加入 --os-shell的参加,就可以直接操控了。


我是谁?我在哪?我正在做什么?