文章目录一、初识SSTI二、判断SSTI类型三、常用类1、__class__2、__bases__3、__subclasses__()4、类的知识总结（转载)5、常见过滤器（转载）四、CTF例题[BJDCTF]Themysteryofip[Bugku]Simple_SSTI_1[Bugku]Simple_SSTI_2一、初识SSTI1、什么是SSTI？SSTI就是服务器端模板注入(Server-SideTemplateInjection)，实际上也是一种注入漏洞。可能SSTI对大家而言不是很熟悉，但是相信大家很熟悉SQL注入。实际上这两者的思路都是相同的，因此可以类比来分析。2、引发SSTI的

02Simple_SSTI_1题目描述没啥好说的~解题思路进入场景后，显示：Youneedpassinaparameternamedflag。ctrl+u查看源码SimpleSSTIYouneedpassinaparameternamedflag。发现最后有一行注释：翻译一下就是说：在flask中，设置了一个secret_key变量。所以就是需要我们来访问这个变量了，接下来的问题就是如何访问这个变量，也就是说要了解一下于flask中访问变量。请看后续【新知识点】部分相关工具略解题步骤知道了如何使用falsk的变量，那就可以进行尝试传参了随便传参看看有何变化，测试一下http://114.67.

第一题看到一句话，需要传入一个传参为flag设置一个变量为secret_key构造paykoad/?flag=secret_key但是发现什么都没有SSTI模版注入嘛这里使用的是flask模版Flask提供了一个名为config的全局对象，可以用来设置和获取全局变量。继续构造payload/?flag={{config.SECRET_KEY}} 必须大写然后就出来了使用{{config}}获得flag，因为config是用来获取当前配置的，配置主要有cookie名字和值之类的，这里的flag就是存放在cookie中第二题看前辈们的解题思路__class__：用来查看变量所属的类，根据前面的变量

与任何漏洞一样，利用漏洞的第一步就是能够找到它介绍该靶场重点在于利用Node.js中的模板引擎Handlebars中识别的服务器端模板注入漏洞。本演练将演示当开发人员未正确清理用户输入时，如何在Web服务器中利用SSTI。我们还将介绍Node.js、模板引擎和全局变量的基础知识，以及如何使用可用的受限Javascript命令逃离虚拟环境。举例-v：增加详细级别，导致Nmap打印有关正在进行的扫描的更多信息。第一步是使用Nmap扫描目标IP地址以检查打开的端口。nmap-sC-sV-v10.129.183.129扫描显示端口22（SSH）打开，但是，我们暂时忽略它，因为我们没有凭据或密钥可用于进

SSTI模板注入-中括号、args、下划线、单双引号、os、request、花括号、数字被过滤绕过（ctfshowweb入门370）写在前头由于request被过滤，我们就不能再使用传参的方式进行传递命令以及被过滤的关键字，下划线中括号花括号都被过滤，这样的话我们就只能使用{%%}来进行设置变量以及拼接方法的方式来进行利用SSTI漏洞。但是ctfshowweb入门370关相对于ctfshowweb入门369关多过滤数字，就是我们不能使用数字作为索引值来获取我们想要的字符了。这时就是需要我们自己来创造数字了。我们本篇还是先研究如何拿到本关的flag值，然后讲解绕过的原理。实例引入判断是否存在SS

SSTI模板注入-中括号、args、下划线、单双引号、os、request、花括号被过滤绕过（ctfshowweb入门369）写在前面由于request被过滤，我们就不能再使用传参的方式进行传递命令以及被过滤的关键字，下划线中括号花括号都被过滤，这样的话我们就只能使用{%%}来进行设置变量以及拼接方法的方式来进行利用SSTI漏洞。实例引入本章内容，咱们就先研究怎么做出ctfshowweb入门369这道题目，然后再讲解绕过的原理。判断是否存在SSTI模板注入漏洞由于双花括号被过滤，我们只能使用{%%}来判断，我们传入参数?name={%print123%}，来观察页面是否回显123，如果回显12

文章目录什么是SSTISSTI类型有哪些常用类及过滤器攻击思路常用payload无过滤情况有过滤情况总结读者可参考、订阅网络安全专栏：网络安全：攻防兼备|秋说的博客什么是SSTISSTI（Server-SideTemplateInjection）是一种服务器端模板注入漏洞，它出现在使用模板引擎的Web应用程序中。模板引擎是一种将动态数据与静态模板结合生成最终输出的工具。然而，如果在构建模板时未正确处理用户输入，就可能导致SSTI漏洞的产生。sql注入的成因是：当后端脚本语言进行数据库查询时，可以构造输入语句来进行拼接，从而实现恶意sql查询。SSTI与其相似，服务端将输入作为web应用模板内容

1.ssti成因flask使用jinjia2渲染引擎进行网页渲染，当处理不得当，未进行语句过滤，用户输入{{控制语句}}，会导致渲染出恶意代码，形成注入。2.使用render_template()渲染页面时不存在注入漏洞。对传入的参数不会执行运算，只会进行显示。3.使用render_template_string()渲染页面时存在注入漏洞。render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串，在渲染的时候会把{{xxx}}包裹的xxx内容当做变量解析替换。第15行{}用于显示输出变量。执行了2*2的运算，发生了注入。4.flask基础知识及SSTI漏洞利

1.ssti成因flask使用jinjia2渲染引擎进行网页渲染，当处理不得当，未进行语句过滤，用户输入{{控制语句}}，会导致渲染出恶意代码，形成注入。2.使用render_template()渲染页面时不存在注入漏洞。对传入的参数不会执行运算，只会进行显示。3.使用render_template_string()渲染页面时存在注入漏洞。render_template_string函数在渲染模板的时候使用了%s来动态的替换字符串，在渲染的时候会把{{xxx}}包裹的xxx内容当做变量解析替换。第15行{}用于显示输出变量。执行了2*2的运算，发生了注入。4.flask基础知识及SSTI漏洞利

目录一，Simple_SSTI_1二，Simple_SSTI_2一，Simple_SSTI_1首先打开场景： 然后F12查看一下源码： 于是通过百度相关知识寻找线索：1，SSTI：服务器端模版注入是指攻击者能够使用本机模板语法将恶意有效负载注入模板中，然后在服务器端执行该模板。2，flask框架：flask是一个使用Python编写的轻量级Web应用框架（一种开发框架，用来支持动态网站，网络应用程序及网络服务的开发。其类型有基于请求和基于组件的两种框架）3，SECRET_KEY配置变量是通用密钥，可在Flask和多个第三方扩展中使用，加密的强度取决于变量值的机密度，不同的程序使用不同的密钥。构