Vorder's blog

vul♂hub学习(二)

字数统计: 226阅读时长: 1 min
2018/10/16 Share

签到大法好!,本文只为巩固vulhub中学到的知识

Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。
github:vulhub/vulhub

历史传送vul♂hub(一)

discuz

flask

jinja ssti注入

模板引擎:模板引擎就是一个按照一定的语法格式, 使用视图的参数进行替换的一个过程

举个最简单的例子:
模板代码:

1
<h1>{{aaa}}</h1>

视图代码:

1
2
3
@app.route('/')
def index():
return render_template('index.html', aaa='hello')

访问网页显示的代码:

1
<h1>hello</h1>

ssti:模板注入,相似与sql注入。主要未对用户输入参数进行判断直接执行渲染,导致可执行任意代码

详解推荐:https://xz.aliyun.com/t/3679

CATALOG
  1. 1. discuz
  2. 2. flask
    1. 2.1. jinja ssti注入