simple-ssti 풀이

우선 URL 뒤에 /{{4*4}}를 입력해보겠습니다. 문제 이름 자체가 SSTI니까 예상대로라면 /16이 화면에 출력될 것입니다. 코드를 보니 app.secret_key에 FLAG가 들어있다고 되어있습니다. 아무래도 app.secret_key의 값을 화면에 출력시키면 FLAG를 얻을 수 있을 것 같습니다. (+ app.secret_key에 들어있는 정보들을 보려면 URL 뒤에 /{{config}}를 삽입하면 됩니다.) 이번 문제는 점수에 비해 좀 많이 헤맨 것 같습니다. flask 지식이 빈약해서 그런 것 같네요....ㅎ

2021.11.17