SSTI Payload Generator

SSTI Payload Generator — Multi-Engine

Herramienta de línea de comandos que genera payloads de Server-Side Template Injection optimizados para cada motor de templates:

• Jinja2 (Python) — Payloads que escapan del sandbox: acceso a __globals__, __builtins__, os.popen().
• Twig (PHP) — Ejecución via filter() y system(), bypass de sandbox mode.
• Freemarker (Java) — RCE via Execute, ObjectConstructor, JythonRuntime.
• Velocity (Java) — Ejecución via Runtime.getRuntime().exec().
• Pebble (Java) — Bypass de restricciones con reflection chains.
• Mako (Python) — Direct code execution via .
• Detección automática — Envía probes matemáticos ({{7*7}}, ${7*7}, #{7*7}) para identificar el engine.

Output: Payloads listos para copiar-pegar, con variantes de encoding (URL, HTML entities, Unicode).