[CISCN2019 华东南赛区]Web11
打开题目,
由于我默认是用X-Forwarded-For:127.0.0.1然后我发现右上角回显了127.0.0.1,于是我推测可能存在SSTI模板注入,于是用burpsuit抓包,
然后在X-Forwarded-For:位置进行注入,然后注入结果发现可以
而且发现没有过滤system
于是直接payload:
{{system('cat /flag')}}
打开题目,
由于我默认是用X-Forwarded-For:127.0.0.1然后我发现右上角回显了127.0.0.1,于是我推测可能存在SSTI模板注入,于是用burpsuit抓包,
然后在X-Forwarded-For:位置进行注入,然后注入结果发现可以
而且发现没有过滤system
于是直接payload:
{{system('cat /flag')}}
浙公网安备 33010602011771号