Mbetull/altaysec-ssti-lab
GitHub: Mbetull/altaysec-ssti-lab
一个基于Docker部署的SSTI漏洞实战靶场,通过三个递进难度的CTF关卡帮助安全从业者系统学习服务端模板注入的识别与利用技术。
Stars: 0 | Forks: 0
# 🚩 ALTAYSEC SSTI 实验室:注入的艺术
cd
```
### 2. 启动系统
```
docker-compose up --build
```
此命令将:
- 构建所有容器
- 安装必要的依赖项
- 同时启动 3 个不同的实验室环境
## 🌐 实验室访问地址
安装完成后,你可以直接通过浏览器访问:
| 等级 | 地址 | 描述 |
|--------|-------|----------|
| 等级 1 | http://localhost:5000 | 🟢 |
| 等级 2 | http://localhost:5001 | 🟡 |
| 等级 3 | http://localhost:5002 | 🔴 |
## 🧠 实验室逻辑
- 每个等级都是独立的
- 每个等级包含一个 flag
- 成功利用漏洞后,将获得 `ACCESS GRANTED` 输出
## 👩💻 开发者
**Meryem Betül Çelik** 2026
```
█████╗ ██╗ ████████╗ █████╗ ██╗ ██╗███████╗███████╗ ██████╗
██╔══██╗██║ ╚══██╔══╝██╔══██╗╚██╗ ██╔╝██╔════╝██╔════╝██╔════╝
███████║██║ ██║ ███████║ ╚████╔╝ ███████╗█████╗ ██║
██╔══██║██║ ██║ ██╔══██║ ╚██╔╝ ╚════██║██╔══╝ ██║
██║ ██║███████╗██║ ██║ ██║ ██║ ███████║███████╗╚██████╗
╚═╝ ╚═╝╚══════╝╚═╝ ╚═╝ ╚═╝ ╚═╝ ╚══════╝╚══════╝ ╚═════╝
```
**SSTI 实验室 — 注入的艺术**
*Server-Side Template Injection · 3 个等级 · CTF 风格 · 基于 Docker*
[](https://www.docker.com/)
这是一个 **3 个等级(CTF 风格)** 的实验室,旨在帮助理解和实践现代 Web 应用程序中常见的 **Server-Side Template Injection (SSTI)** 漏洞。
本实验室旨在让参与者从基础到高级,逐步发现并利用 SSTI 漏洞。
## 🎯 目标
通过本实验室,你将能够:
- 识别 SSTI 漏洞
- 观察不同模板引擎的行为
- 体验 WAF 绕过技术
- 解决接近真实场景的漏洞利用问题
## 🛠 架构
该项目完全基于 **Docker**,每个等级都在 **隔离的容器** 中运行。
- 每个等级作为独立的服务运行
- 端口已 **固定,以避免手动混淆**
- 整个系统可通过 `docker-compose` 使用单条命令启动
## ⚙️ 前置条件
运行本实验室需要:
- [Docker](https://www.docker.com/products/docker-desktop/)
- [Docker Compose](https://docs.docker.com/compose/)
## 🚀 安装说明
### 1. 克隆项目
```
git clone 标签:CISA项目, Docker, OPA, SSTI, WAF绕过, Web安全, 后端开发, 安全培训, 安全实验室, 安全防御评估, 攻击模拟, 服务端模板注入, 漏洞演练, 版权保护, 网络安全, 蓝队分析, 请求拦截, 逆向工具, 隐私保护, 靶场, 驱动签名利用