목록CTF (59)

개발세발보안중

[Suninatas]8번 Write Up

보호되어 있는 글입니다.
CTF 2023. 5. 17. 13:53
[드림핵]simple-ssti Write up

SSTI(Server Side Template Injection) 취약점은 공격자가 서버 측의 기본 템플릿 구문을 이용하여 악성 페이로드를 ㅅ바입한 다음 서버 측에서 실행되면서 생기는 취약점이다. 웹 템플릿 엔진마다 사용되는 페이로드가 다르다 템플릿 언어란 언어의 변수 및 문법을 html 안에서 쓸 수 있도록 제공해주는 언어이다 flask의 jinja2 문법을 사용할 경우 {{..}} 형태의 템플릿을 사용한다. {{7*7}}이 삽입되면 49라는 결과 값을 출력해야한다. simple-ssti 존재하지 않는 페이지 방문시 404 에러를 출력하는 서비스입니다. SSTI 취약점을 이용해 플래그를 획득하세요. 플래그는 flag.txt, FLAG 변수에 있습니다. Reference Server-side Basic ..
CTF 2023. 5. 10. 16:59
[드림핵]blind-command Write up

보호되어 있는 글입니다.
CTF 2023. 5. 10. 16:48
[드림핵]baby-linux Write Up

보호되어 있는 글입니다.
CTF 2023. 5. 10. 16:29
[드림핵]Mango Write up

const express = require('express'); const app = express(); const mongoose = require('mongoose'); mongoose.connect('mongodb://localhost/main', { useNewUrlParser: true, useUnifiedTopology: true }); const db = mongoose.connection; // flag is in db, {'uid': 'admin', 'upw': 'DH{32alphanumeric}'} const BAN = ['admin', 'dh', 'admi']; filter = function(data){ const dump = JSON.stringify(data).toLowerCas..
CTF 2023. 5. 10. 15:59
이전 Prev 1 2 3 4 5 6 7 ··· 12 Next 다음