ssti 自動化バイパスツール#
CTF コンペティションで ssti の問題に遭遇し、見つけたツール、ssti 自動化バイパスツール
プロジェクトアドレス:https://github.com/Marven11/Fenjing
紹介:焚靖は CTF コンペティションにおける Jinja SSTI の WAF バイパスのための全自動スクリプトで、指定されたウェブサイトや API を自動的に攻撃し、手動でのインターフェーステストや WAF のファズ問題にかかる時間を省きます。
インストールと使用方法
pip3 install fenjing
fenjing webui
リンクを開くと、インターフェースは以下のようになります:
パラメータを入力
ターゲットリンク:http://xx.xx.xx.xx:18055/login
リクエスト方式:POST
フォーム入力:フォームフィールドを記入する必要があります、username、password
分析を開始すると、自動的にペイロードを遍歴し、成功すると通知が表示され、その後出力に cat /flag コマンドを実行して flag を確認します。