NCTF2018-Web部分题WriteUp

NCTF2018

南邮的CTF比赛,Web题做起来感觉还行,比上次LCTF的舒服多了。总体难度还行吧,有些题有小坑。

最后拿了Rank5还算不错感觉。

深入SSTI-从NCTF2018两道Flask看bypass新姿势

简述

什么是SSTI

SSTI全称Server-Side-Template-Injection,即服务端模版注入攻击。

攻击成因是服务端模版引擎将用户的输入直接渲染进模版,而未做过滤或者对象关系映射(ORM)

这样,攻击者可以控制渲染进模版的内容。通过直接输入模版渲染的关键词例如{{ }},即可将恶意代码注入模版中执行。最严重的后果是getshell。

现在有很多常见的模版渲染引擎,而最常用也最长出问题的Web框架就是基于Python的Flask框架了。

具体SSTI的概念和成因分析此处不再赘述。