美文网首页
BUUCTF-[BJDCTF 2nd]fake google

BUUCTF-[BJDCTF 2nd]fake google

作者: 低调求发展 | 来源:发表于2021-03-01 09:10 被阅读0次

30.[BJDCTF 2nd]fake google

首先打开界面为一个google搜索界面。谁便输入会返回相应的输入东西

输入<script>alert(1)</script>,一个反射xss

没啥用,接着查看了下源码

发现ssti,猜测存在模板注入

手动测试下,成功执行,应该存在模板注入

直接使用tplmap 测试下,存在模板注入,为Jinja2

直接--os-shell,拿到shell,直接查看flag

相关文章

网友评论

      本文标题:BUUCTF-[BJDCTF 2nd]fake google

      本文链接:https://www.haomeiwen.com/subject/jbvovktx.html