随笔分类 - CTF之Web框架
摘要:打开/flag.txt后发现这样的页面,在url中看到了传递的两个参数,一个是文件路径,一个是加密后的一串数值。 打开/welcome.txt发现了render的提示字样,而render是一个渲染函数,结合框架Tornado,我们大体可以猜测出来,应该是SSTI注入漏洞。 在/hints.txt中我
阅读全文
摘要:打开题目以后他让我们输入一个域名,我这里习惯一般填入127.0.0.1 可以发现是一个ping命令,立马想到命令执行。然后进行尝试命令执行的payload_fuzz, 发现这里只有四个字符没有被过滤,其他全报Invalid URL,还有一个神奇的发现点是,当我们输入字符以后, 发现url里面给我们自
阅读全文
