30.[BJDCTF 2nd]fake google
首先打开界面为一个google搜索界面。谁便输入会返回相应的输入东西
输入<script>alert(1)</script>,一个反射xss
没啥用,接着查看了下源码
发现ssti,猜测存在模板注入
手动测试下,成功执行,应该存在模板注入
直接使用tplmap 测试下,存在模板注入,为Jinja2
直接--os-shell,拿到shell,直接查看flag
首先打开界面为一个google搜索界面。谁便输入会返回相应的输入东西
输入<script>alert(1)</script>,一个反射xss
没啥用,接着查看了下源码
发现ssti,猜测存在模板注入
手动测试下,成功执行,应该存在模板注入
直接使用tplmap 测试下,存在模板注入,为Jinja2
直接--os-shell,拿到shell,直接查看flag
本文标题:BUUCTF-[BJDCTF 2nd]fake google
本文链接:https://www.haomeiwen.com/subject/jbvovktx.html
网友评论