有一个flag界面和一个hint界面
hint界面没有啥提示,回到flag界面,有个IP地址,抓包看看
修改X-Forwarded-For,网页上的ip也跟着变了
试试能不能进行运算
能运算,那应该是存在SSTI模板注入,尝试执行系统命令{system('ls')}
根目录发现flag文件
用cat打开
有一个flag界面和一个hint界面
hint界面没有啥提示,回到flag界面,有个IP地址,抓包看看
修改X-Forwarded-For,网页上的ip也跟着变了
试试能不能进行运算
能运算,那应该是存在SSTI模板注入,尝试执行系统命令{system('ls')}
根目录发现flag文件
用cat打开
[BJDCTF2020]The mystery of ip
https://www.bnessy.com/archives/bjdctf2020themysteryofip