本文主要是介绍[CISCN2019 华东南赛区]Web111,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
考点:
xff
ssti
打开看到页面存在IP和XFF,右上角是咱们自己的IP
看到现在,可以想到尝试一下xff,当我们bp抓包后,添加xff,我们可以发现右上角的Current IP发生了变化,并且当我们输入什么他就会变成什么,这时候就应该想到ssti注入了
进行注入发现是Smarty 模板注入(好像页面下面也有提示"Bulid with Smarty",……不过没关系),可以看我之前写过的一篇blog,里面详细介绍了整个过程。
[BJDCTF2020]The mystery of ip1_[bjdctf2020]the mystery of ip 1-CSDN博客
然后我们按照smarty模板去注入,使用{if}标签
直接cat /flag了
好了得到flag
这篇关于[CISCN2019 华东南赛区]Web111的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!