python-flask-ssti(模版注入漏洞)

SSTI(Server-Side Template Injection) 服務端模板注入 ，就是服務器模板中拼接了惡意用戶輸入導致各種漏洞。通過模板，Web應用可以把輸入轉換成特定的HTML文件或者email格式 輸出無過濾就注定會存在xss，當然還有更多深層次的漏洞。 前置知識 ...

ctfshow 1024杯 部分web題解

　　今年1024忙得厲害，去大上海參加geekpwn膜拜大佬，幾家平台的題目沒怎么好好看。特別是小破站的比賽拉跨的一批，bytectf的web到了第二天晚上所有題的題解加在一起還沒有10解直接勸退（y ...

[CISCN2019 華東南賽區]Web11

知識點 SSTI smarty 題目給了提示，Build With Smarty 看到有X-Forwarded-For，抓包添加 發現Current IP被修改成我們輸入的值 上SSTI圖 測試一下是否是smarty ...