2020年3月22日
[BUUOJ记录] [BJDCTF 2nd]fake google
摘要: 本题考查python jinjia2的ssti,其实tplmap直接梭哈都可以 随便输入一个值,查看源代码就能看到一个Hint: 用下面的流程图测试一下,看看是什么模板引擎: 用Payload测试之后发现是jinjia2的模板引擎,然后构造jinjia2 ssti的命令执行payload: {% f 阅读全文
posted @ 2020-03-22 21:01 Ye'sBlog 阅读(1176) 评论(0) 推荐(1) 编辑