[BJDCTF2020]The mystery of ip
打开flag.php
发现有ip
初步怀疑与X-Forwarded-For
发现ip可控可能存在模板注入
看了文章发现是Smarty模板注入
https://blog.csdn.net/qq_45521281/article/details/107556915
随即构造一下payload查看目录
发现flag.php 直接cat!
发现并不是真的flag
<?php
require_once('header.php');
require_once('./libs/Smarty.class.php');
$smarty = new Smarty();
if (!empty($_SERVER['HTTP_CLIENT_IP']))
{
$ip=$_SERVER['HTTP_CLIENT_IP'];
}
elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))
{
$ip=$_SERVER['HTTP_X_FORWARDED_FOR'];
}
else
{
$ip=$_SERVER['REMOTE_ADDR'];
}
$your_ip = $smarty>
一般的flag 貌似都会放在根目录
我们看一下根目录有没有
发现flag
直接拿!