Home Research Blog Tags Playground Stack

⌘K

레드팀 · AI 자동화 · 시스템 엔지니어링

직접 만들고, 실험하고, 기록한다

개인정보처리방침·이용약관

© 2026 ZINO LAB

← 태그 목록

Tag Archive

#ssti

이 태그가 포함된 글을 최신순으로 모아봤어요.

2

posts

BLOG2026-06-28

[🥈 Silver 3] 404 페이지에 식을 넣으면 답을 한다 — DreamHack simple-ssti 풀이

[🥈 Silver 3] 404 페이지에 식을 넣으면 답을 한다 — DreamHack simple-ssti 풀이

Flask 404 핸들러가 사용자 경로(request.path)를 템플릿 문자열에 그대로 박은 뒤 render_template_string 으로 렌더한다. 없는 경로에 Jinja2 식을 실으면 서버가 평가하는 SSTI 가 터지고, FLAG 가 app.secret_key 로 들어가 있어 config 한 줄로 그대로 새어 나온다.

#dreamhack#ctf#web+5

BLOG2026-06-05

[🥇 Gold 3] 쿠키 한 줄로 Thymeleaf 뷰 이름을 갈아끼우다 — DreamHack spring-view 풀이

[🥇 Gold 3] 쿠키 한 줄로 Thymeleaf 뷰 이름을 갈아끼우다 — DreamHack spring-view 풀이

Spring + Thymeleaf 앱에서 lang 쿠키가 그대로 뷰 이름이 된다. 프래그먼트 전처리 __${...}__ 로 SpEL을 실행하는 View-Name SSTI를 잡고, java/class/Runtime 블랙리스트와 쿠키 RFC6265 제약(공백·콤마·세미콜론 금지), 그리고 원격 Java 8 환경까지 차례로 우회해 /flag.txt 를 읽어낸다.

#dreamhack#ctf#web+5