Web - Serveur
Web - Serveur | Template injection
Bonjour,
Je me creuse la tête sur ce chall. Je voulais savoir si j’ai correctement identifié le gestionnaire de Template (MAKO) grâce à la documentation de l’exercice.
Si oui j’aimerais bien un petit un indice de comment allez trifouiller le fichier SECRET_FLAG.txt
Merci de vos réponse
Web - Serveur | Template injection
Salut,
Qu’est-ce qui te fais penser que le gestionnaire de template est Mako ?
Car si tu utilises le diagramme de la section Identify de la documentation, n’oublie pas qu’il existe d’autres gestionnaires de template que smarty, Mako, Jinja2, et Twig.
Web - Serveur | Template injection
Salut à tous,
Je suis moi aussi bloqué sur ce challenge, après quelques tests, selon moi le gestionnaire de template est soit "inconnus", soit "non vulnerable". Et le fait qu’il ne soit pas vulnérable n’aurait pas trop de sens...
Du coup, je ne vois pas trop par où aller ^^’
Avez vous quelques indices ? Merci d’avance, bonne journée / soirée :)
Web - Serveur | Template injection
Salut,
Le gestionnaire de template est bien vulnérable, essaye de te renseigner sur tous les template engines qui existent et leurs spécificités de syntaxe.
N’hésite pas non plus à utiliser les outils de développement web à disposition (F12 ou CTRL + MAJ + I) ou firebug ^^
Web - Serveur | Template injection
Hello,
Juste pour appuyer sur la remarque arnoul_b. Il existe d’autre moteur de template qui tombe sous la catégorie "unkown" de la documentation de l’exercice. Faut juste « te renseigner sur tous les template engines qui existent et leurs spécificités de syntaxe. »
Web - Serveur | Template injection
Salut j’ai trouve la syntax pour injecter du code, mais il semble assez difficile d identifier le template qui d’apres moi rend en PHP. Y’aurait il une liste a parcouris quelquepart pour plus d’indication ?