题目描述 （无附件） 观察打开网站会发现一片空白： 专门提示了是Jinja2，所以大概率是注入，而Jinja2注入的格式为 1{{ code }} （以下用server来指代当前网址） 因为没有给网页源代码，所以只能不断尝试。然后会发现当将当前url修改成 1server/{{7*7}} 时，会显示 可以看到 7*7 确实被执行了，所以确定这里就是注入口。 渗透有至少2种方法： 第一种通...

题目描述 （有附件） 解题观察打开网站： 输入 “abc“ 会看到： 然后我们来查看代码（routes.py）： 1234567891011121314from flask import Blueprint, requestfrom flask_mako import render_templatefrom application.util import spookifyweb = Bl...