[HNCTF 2022 WEEK3]ssssti

[HNCTF 2022 WEEK3]ssssti

首先打开题目

这边翻译一下，server-side template injection是服务器模版注入，立马能反应过来是ssti(一般是flask框架)

不管了，直接丢fenjing里面一把梭哈

开始扫描了1，不得不感慨fenjing的waf绕过能力是真强

一些常见的危险payload也自动帮你试完了，真要自己一个个试还是太麻烦了（绝对不是因为我懒）

这里就是已经完成ssti注入了，接下来我们就可以执行命令了，先看下网页中的文件

立马就看到了flag，立马查看一下

flag就出来了