摘要：知识点👇 ①XFF ②SSTI 解题： 打开连接发现有一个很显眼的名字flag，发现显示ip地址，猜测是xff注入 尝试修改X-Forwarded-For:111 输入与回显一样，猜测可能是SSTI，构造X-Forwarded-For:{{1+1}} 确定是SSTI，构造X-Forwarded-F 阅读全文

摘要：知识点 文件类型绕过👇 Content-Type: image/jpeg apache环境下上传.hatcess 首先上传一个.htaccess内容如下的文件 <FilesMatch "shell2.jpg"> SetHandler application/x-httpd-php </FilesM 阅读全文