█████╗ ██╗ ████████╗ █████╗ ██╗ ██╗███████╗███████╗ ██████╗
██╔══██╗██║ ╚══██╔══╝██╔══██╗╚██╗ ██╔╝██╔════╝██╔════╝██╔════╝
███████║██║ ██║ ███████║ ╚████╔╝ ███████╗█████╗ ██║
██╔══██║██║ ██║ ██╔══██║ ╚██╔╝ ╚════██║██╔══╝ ██║
██║ ██║███████╗██║ ██║ ██║ ██║ ███████║███████╗╚██████╗
╚═╝ ╚═╝╚══════╝╚═╝ ╚═╝ ╚═╝ ╚═╝ ╚══════╝╚══════╝ ╚═════╝
SSTI LAB — The Art of Injection
Server-Side Template Injection · 3 Seviye · CTF Tarzı · Docker Tabanlı
Modern web uygulamalarında sıkça karşılaşılan Server-Side Template Injection (SSTI) zafiyetlerini anlamak ve pratik yapmak için hazırlanmış, 3 seviyeli (CTF tarzı) bir laboratuvardır.
Bu lab, katılımcının basitten ileri seviyeye doğru ilerleyerek SSTI açıklarını keşfetmesini ve sömürmesini hedefler.
Bu laboratuvar sayesinde:
- SSTI zafiyetlerini tanıyabilir
- Farklı template engine davranışlarını gözlemleyebilir
- WAF bypass tekniklerini deneyimleyebilir
- Gerçek hayata yakın exploitation senaryoları çözebilirsin
Proje tamamen Docker tabanlıdır ve her seviye izole container içinde çalışır.
- Her level ayrı bir servis olarak çalışır
- Portlar manuel karışıklık olmayacak şekilde sabitlenmiştir
- Tüm sistem
docker-composeile tek komutla ayağa kalkar
Labı çalıştırmak için:
git clone <repo-link>
cd <repo-klasörü>docker-compose up --buildBu komut:
- Tüm container'ları build eder
- Gerekli bağımlılıkları yükler
- 3 farklı lab ortamını aynı anda başlatır
Kurulum tamamlandıktan sonra tarayıcıdan direkt erişebilirsin:
| Seviye | Adres | Açıklama |
|---|---|---|
| Level 1 | http://localhost:5000 | 🟢 |
| Level 2 | http://localhost:5001 | 🟡 |
| Level 3 | http://localhost:5002 | 🔴 |
- Her level bağımsızdır
- Her seviyede bir flag bulunur
- Doğru exploit yapıldığında
ACCESS GRANTEDçıktısı alınır
Meryem Betül Çelik 2026