安全-Simple_SSTI1(BugkuCTF)
Posted 小狐狸FM
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全-Simple_SSTI1(BugkuCTF)相关的知识,希望对你有一定的参考价值。
一、题目
二、WriteUp
- 这个题目是
SSTI(Server-Side Template Injection)服务器端模板注入- 查看源代码,下方提示的是
flask和secret_key
flask是python的一个web框架- 参考的文章如下:
flask之ssti模板注入初窥
1. SSTI(模板注入)漏洞(入门篇)
Flask之config.py配置文件中的常用配置
传入一个
flag参数,用两个括号括起来一个表达式或者是变量,返回对应的表达式或变量的值。
输入
config可以查看变量的内容
因为题目提示
flag值是在SECRET_KEY中,也可以修改成config.SECRET_KEY来访问变量的值
以上是关于安全-Simple_SSTI1(BugkuCTF)的主要内容,如果未能解决你的问题,请参考以下文章