先进入题目给的靶机

审视页面

发现左上角有两个标签: Flag 和 Hint;

Hint.php

给出提示从 IP 地址入手.

那我们就来看看第二个标签.

Flag.php

Flag 标签,打开后会给我们一份 IP 地址: 172.16.134.121;
登录这个 IP 瞧瞧.

使用 bp 抓取 Flag 页面的包;

尝试更改一下 IP 地址看看?

添加 X-Forwarded-For: 127.0.0.1

可以看到 IP 地址发生了变化,直接将 127.0.0.1 输出到了页面上;借助搜索引擎我发现一篇大佬的博客,里面实际验证了这是一种 SSTI 模板注入;

尝试构造 payload:

X-Forwarded-For: {{system("ls")}}


发现 flag 文件,利用 cat 拿取 flag;

构造 payload:

X-Forwarded-For: {{system("cat /flag")}}

于是拿到了 flag, 放入题目中 sumbit;yas

更新于

请我喝[茶]~( ̄▽ ̄)~*

1sme 微信支付

微信支付