[VNCFT2021]gocalc0复现
这道题当时出了非预期,session两次base64就能getflag,但是这道题本身的考点是Golang SSTI
正好复盘学习一下
打开题目能看到经典计算器
点开flag在这里发现只有短短一行提示
flag is in your session
这里按照非预期接还是能够拿到flag
但是我们要看一下具体按照预期方法怎么能拿到flag
https://www.jianshu.com/p/e0ffb76ba7e9
【查看相关资料】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记
这里我们通过{ {.}}查看一下作用域
整理一下,就能够看到整个calc的源码
package main
import (
_ "embed"
"fmt"
"os"
"reflect"
"strings"
"text/template"
"github.com/gin-contrib/sessions"
"github.com/gin-contrib/sessions/cookie"
"github.com/gin-gonic/gin"