fenjing

发表于 2024-06-05 更新于 2024-07-14 分类于 SSTI 阅读次数：本文字数： 510 阅读时长 ≈ 1 分钟

Fenjing(焚靖)

焚靖是一个针对CTF比赛中Jinja2 SSTI绕过WAF的全自动脚本，可以自动攻击给定的网站或接口。能解决常规性的SSTI题目，实用指数⭐⭐⭐

在windows环境下安装最方便，本人尝试在kali安装失败了很多次，各种报错，最后放弃了。 (；′⌒`)

1	pip install fenjing -i https://pypi.tuna.tsinghua.edu.cn/simple

1	python -m fenjing scan --url <URL:>

该命令执行完毕后会反弹一个shell

1	python -m fenjing webui

会在本地弹出一个可视化操作页面，然后在根据要求填充和执行（方便新手去使用）

1	python -m fenjing crack --url <URL:> --method GET(POST) --inputs name(user)

一把梭（说实话还是上面两个命令好用些(／_＼)大怨种）

更为详细的在 here