CTF 之Smarty
经过几天学习,终于突破了一点瓶颈,总算学习完关于php和mysql的知识,开始bugku的刷题之路,加油成为一名web选手
题目的WP参考了某大佬的,做了对应的知识点总结如下,还是需要拓宽知识面啊
题目来源于bugku 聪明的php,在此之前也遇到了一些关于SSTI漏洞的问题,比如MISC类里的简单SSTI,等等。对这一块的知识点还是很迷茫。
首先查阅了资料,什么是SSTI?
了解了客户端访问动态页面的流程之后,但是任然对模板引擎了理解不够深入,对Django、Smarty之类的网站框架缺乏一个认识。
专有名词的理解
Smarty属于模板引擎
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的HTML文档。
Django、Flask、ThinkPHP属于Web应用框架
WEB应用框架:是一种开发框架,用来支持动态网站、网络应用程序及网络服务的开发。其类型有基于请求的和基于组件的两种框架
希望以后有时间好好的应用一下这两个东西,没有接触过真的不了解框架是怎样一种概念,也不知道如何寻找漏洞和应用
正则表达式
总算能够明白正则表达式的含义,就是利用一个式子来表达某种符合要求的字符串,能够更加方便文本的查找。需要去学习对应的语法与要求,目前只能做到查资料看懂。
PHP相关系统函数的理解
有时间再更新吧
