考点:SSTI题
以为这道题跟ikun那道题一样,考的知识点很多,是我想得复杂了。
分析
其实打开这张页面,我并不知道这道题是什么类型。只好先用bp去请求这两个接口。请求xff的时候,我添加了 xff头,值为127.0.0.1。回显了127.0.0.1。我就猜到是模板注入题了,加上页面上的关键字 Smarty,Smarty模板注入题,找了几个payload,没什么过滤,直接就回显了。
1 | {$smarty.version} |
1 | {system('cat /flag')} |
BUUCTF-WEB 【CISCN2019 华东南赛区】Web11 1
- 本文链接: https://fanygit.github.io/2021/04/21/[CISCN2019 华东南赛区]Web11 1/
- 版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!