当前位置: 首页 > news >正文

[BJDCTF2020]The mystery of ip

news 2025/6/27 0:13:53

hint 猜测ip和XFF有关

 

加一个XFF 

 

下面这一步是看了wp出来的:存在ssti

这里尝试用jinja的注入方法,页面回显了是php的smarty框架

 

 查了一下smarty的注入方法,发现可以直接执行php命令

在根目录找到flag 

 

 

 

http://www.lryc.cn/news/289198.html

相关文章:

  • RUST笔记:candle使用基础
  • Python算法题集_接雨水
  • FIND_IN_SET的使用:mysql表数据多角色、多用户查询
  • JVM篇----第十一篇
  • 鸿蒙HarmonyOS获取GPS精确位置信息
  • java正则校验,手机号,邮箱,日期格式,时间格式,数字金额两位小数
  • php下curl发送cookie
  • stable diffusion学习笔记——文生图(一)
  • Linux下安装openresty
  • 【IM】如何保证消息可用性(一)
  • js直接下载附件和通过blob数据类型下载文件
  • 第2章-神经网络的数学基础——python深度学习
  • 【Docker】Docker学习⑧ - Docker仓库之分布式Harbor
  • 一行命令在 wsl-ubuntu 中使用 Docker 启动 Windows
  • Datawhale 组队学习之大模型理论基础 Task7 分布式训练
  • 05-使用结构体构建相关数据
  • 【Android】Android中的系统镜像由什么组成?
  • 仿真机器人-深度学习CV和激光雷达感知(项目2)day7【ROS关键组件】
  • 解锁一些SQL注入的姿势
  • Qt 拖拽事件示例
  • Linux:命名管道及其实现原理
  • 实习记录——第五天
  • Kotlin 教程(环境搭建)
  • 04.领域驱动设计:了解聚合和聚合根,怎样设计聚合-学习总结
  • cmake-find_package链接第三方库
  • obsidian阅读pdf和文献——与zotero连用
  • 走方格(动态规划)
  • 基于DataKit迁移MySQL到openGauss
  • API网关-Apinto压缩包方式自动化安装配置教程
  • 内网穿透natapp使用教程(Linux)