NCTF2018-Web部分题WriteUp
NCTF2018
南邮的CTF比赛,Web题做起来感觉还行,比上次LCTF的舒服多了。总体难度还行吧,有些题有小坑。
最后拿了Rank5还算不错感觉。
南邮的CTF比赛,Web题做起来感觉还行,比上次LCTF的舒服多了。总体难度还行吧,有些题有小坑。
最后拿了Rank5还算不错感觉。
什么是SSTI
?
SSTI全称Server-Side-Template-Injection
,即服务端模版注入攻击。
攻击成因是服务端模版引擎将用户的输入直接渲染进模版,而未做过滤或者对象关系映射(ORM)
。
这样,攻击者可以控制渲染进模版的内容。通过直接输入模版渲染的关键词例如{{ }}
,即可将恶意代码注入模版中执行。最严重的后果是getshell。
现在有很多常见的模版渲染引擎,而最常用也最长出问题的Web框架就是基于Python的Flask
框架了。
具体SSTI的概念和成因分析此处不再赘述。