![](https://img-blog.csdnimg.cn/20201014180756780.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
笔记
文章平均质量分 80
YWt1bWE=
十七八岁的眼里总是带着光的
展开
-
[BJDCTF2020]The mystery of ip(ssti模板注入题目)
项目场景:链接http://node3.buuoj.cn:29669/index.php问题描述:观察页面找到三个链接,点开flag和hint看看,发现flag那个页面窃取了客户端的ip地址,这题的题目是“The mystery of ip”IP的神秘,看来解题是要从这里入手了。尝试解决:既然是窃取了IP,考虑是不是XFF或Client-IP这两个header,发现这个IP确实可控,0.0,感觉可以冲了我想到的第一个就是之前看到的sql注入的http头注入,但是也只是想想罢了,再看看其他方原创 2021-06-02 16:49:55 · 1768 阅读 · 2 评论 -
bugku-web21
web21!~never never never give up!打开环境,一看,哦!不会做下一个,OK! never give找了一大圈,这个注释比较显眼,打开看看giao,开幕雷击,好像是一个论坛,没找到啥实质性的东西,看看源码这段码一看是base64,解码试试看ojbk,还要再解码一次,再看是url解码,解码结果↓";if(!$_GET['id']){ header('Location: hello.php?id=1'); exit();}$id=$_GET['id']原创 2021-04-07 23:05:36 · 148 阅读 · 0 评论