签到大法好!,本文只为巩固vulhub中学到的知识
Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。
github:vulhub/vulhub
历史传送:vul♂hub(一)
discuz
flask
jinja ssti注入
模板引擎:模板引擎就是一个按照一定的语法格式, 使用视图的参数进行替换的一个过程
举个最简单的例子:
模板代码:1
<h1>{{aaa}}</h1>
视图代码:1
2
3@app.route('/')
def index():
return render_template('index.html', aaa='hello')
访问网页显示的代码:1
<h1>hello</h1>
ssti:模板注入,相似与sql注入。主要未对用户输入参数进行判断直接执行渲染,导致可执行任意代码