xctf_python_template_injection

[目標] Python模板注入 [環境] Windows [工具] 瀏覽器 [分析] 1.根據題目可看出是python的模板注入 python 發現執行此命令，所以是SSTI 2.利用{{}}來查看服務器配置 命令{{config.items()}} git 3.執行命令，查看目錄 os.listdir() 方法用於返回指定的文件夾包含的文件或文件夾的名字的列表。這個列表以字母順序。 它不包括 ‘

>>阅读原文<<