1. 什么是引擎：
   网页模板引擎是一种软件库，它的核心作用是将 业务逻辑（数据） 与 表现逻辑（HTML/视图） 分离。它允许开发者编写一个包含特殊标记（占位符、循环、条件判断等）的模板文件，然后用程序提供的数据去“渲染”这个模板，最终生成一个完整的 HTML 页面。
   

2. 引擎的语言：
   

3. 不同引擎的区别
   攻击路径不同：
   

   # Jinja2 (Python):
   '' (任意对象) -> class (获取类) -> mro (追溯基类) -> subclasses() (寻找所有子类) -> 危险模块/函数 (如 os)
   
   # Twig (PHP): 
   _self (模板实例) -> env (获取环境对象) -> registerUndefinedFilterCallback (注册回调函数) -> 'exec'/'system' (指定PHP危险函数为回调)

   
   上下文不同：

    # Jinja2 (Python): 
   {
    "request": "Flask的请求对象，包含大量信息",
     "config": "应用的配置对象",
     "g": "应用上下文的全局变量",
     "...": "其他由框架注入的对象"
   }
   # Twig (PHP):
   {
     "_self": "指向当前模板实例，万能,
     "app": "在Symfony等框架中，可能存在的应用对象",
     "...": "其他全局变量"
   }

   
   可用的语法不同：...

4. 如何区分
   
   

1. 使用jinja2为引擎

2. 当使用 render_template_string 时存在 ssti 漏洞

1. __class__ 返回类型所属的对象
2. __mro__ 返回一个包含对象所继承的基类元组，方法在解析时按照元组的顺序解析。
3. __base__ 返回该对象所继承的基类 // __base__和__mro__都是用来寻找基类的
4. __subclasses__ 每个新类都保留了子类的引用，这个方法返回一个类中仍然可用的的引用的列表
5. __init__ 类的初始化方法（构造函数）
6. __globals__ 对包含函数全局变量的字典的引用

1. 如何辨别 ssti
当网页存在回显，并且没有被解析为 html 元素时，考虑 ssti 注入。（如果被解析为html 元素，如输入 <h1>test</h1> 返回了大号 test，这时候就是考略 XSS 注入了，即Javascript 任意执行）
2. 漏洞原因
程序将字符串渲染成模板时，会执行{{ }}(大多数情况下的通用占位符)里的语句。
3. 限制
本质上是一个沙箱，仅能执行和输出表达式无法执行语句（如 import），但是可以通过访问基类的其它子类获取所需函数。

自动化工具tplmap，拿shell、执行命令、bind_shell、反弹shell、上传下载文件，Tplmap为SSTI的利用提供了很大的便利

github地址：GitHub - epinna/tplmap: Server-Side Template Injection and Code Injection Detection and Exploitation Tool

1. flag可能藏在哪：
   根目录或者当前目录下的 flag 文件，（也可能叫Fl4g之类的）
   配置文件config中
   环境变量 env 中