一、Web 1.Web狗的地狱 本题提供了源代码，我们打开代码查看，可以发现黑名单非常之多 过滤的基本都是与SSTI有关的函数，但是我们发现print没有被禁过滤的基本都是与SSTI有关的函数。还有，即使双大括号被禁用了，但是我们还可以使用{%...…

1、星愿信箱 本题也是Python的SSTI注入，但是貌似加入了一些简单的过滤。我们打开题目，我们直接尝试使用双大括号来判断是否为SSTI，但是发现 那么我们可以猜到应该是双大括号被屏蔽了，那我们使用 {%print (....) %} 代替即可 然…