肖宇松的博客

首页

默认分类

未读

Flask-SSTI-lab通关

前言： Flask SSTI（Server-Side Template Injection）是指在 Flask 的模板引擎 Jinja2 中，用户输入未经过滤地被渲染执行，从而导致攻击者可以构造恶意模板表达式并在服务器上执行任意代码或读取敏感数据。 Flask 使用的模板引擎是 Jinja2，它允许

最近

未读

基础漏洞

2025/4/17 因为我积累的还很少所以先把这些漏洞放在同一篇blog，等到时候积累的多了再分开常见的flag存放位置：注释、根目录、环境变量文件包含 1. 产生原因（1）动态文件包含机制被滥用：PHP提供了如include、require、include_once和require_onc

2025-04-17

未读

CNN训练模型实现验证码自动识别

2025/3/8 注：本文中所有代码均是问AI实现（因为我是一点不会写💀）题目：2000个验证码，正确率95%即可通过去搜了一下常见的本地ocr平台，尝试搭建

2025-03-28