El Bug que Convierte Texto en CONTROL TOTAL

En este vídeo resolvemos un laboratorio de picoCTF donde una aplicación web vulnerable permite ejecutar código en el servidor mediante una inyección de plantillas del lado servidor (SSTI). Analizamos el comportamiento de la aplicación, identificamos el motor de plantillas y aprovechamos la falta de filtrado para ejecutar comandos y acceder a archivos internos del sistema. Un ejemplo claro de cómo una SSTI puede pasar desapercibida y acabar teniendo un impacto mucho mayor del esperado.