banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。
HomeArchives图文

ssti自动化绕过工具

#ctf8

ssti 自动化绕过工具#

做 ctf 比赛遇到了 ssti 的题目,发现的一个工具,ssti 自动化绕过工具

项目地址:https://github.com/Marven11/Fenjing

介绍:焚靖是一个针对 CTF 比赛中 Jinja SSTI 绕过 WAF 的全自动脚本,可以自动攻击给定的网站或接口,省去手动测试接口,fuzz 题目 WAF 的时间。

安装及使用

pip3 install fenjing
fenjing webui

3d98a2c2265de66761bfef7f8ac7e494_MD5

打开链接,界面如下:

a7feee11108bb56bdc1b8cb857aed3a6_MD5

填入参数

目标链接:http://xx.xx.xx.xx:18055/login
请求方式:POST
表单输入:需要填写表单字段,username,password

开始分析,即可自动化遍历 payload,成功后会有提示,然后在输出 cat /flag 命令查看 flag

Loading...
Ownership of this post data is guaranteed by blockchain and smart contracts to the creator alone.