2025年2月25日
BUUCTF [BJDCTF2020] The mystery of ip
摘要: 打开靶机页面,看到有个flag页面,打开发现会显示ip,结合题目的提示,使用burp抓包利用XFF修改ip 发现页面中显示的ip也发生变化,那么可以尝试利用XFF构造语句进行注入,经过查询,知道php可能存在Twig模版注入漏洞 查询Twig 模板的基础语法,验证存在Twig模版注入漏洞 构造pay 阅读全文
posted @ 2025-02-25 09:18 insaneiss 阅读(2) 评论(0) 推荐(0)