[BJDCTF2020]The mystery of ip
Posted F1gh4
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了[BJDCTF2020]The mystery of ip相关的知识,希望对你有一定的参考价值。
不能忘记带来一切的基础
同样的一道XXF有关的题目,
第一个界面如下,题目提示 the mysrery of ip
左上角的菜单有三个选项:
flag:
真就显示了我电脑主机的ip地址
hint:
提示,为什么会知道我的ip地址,联想到x-forwarded-for,抓包:
对XFF的更改,会影响在前端界面,果然他就是读取了XXF;
查看答案,明白这是用到SSTI,完全不明白:
但答案就是如此;
在XXF构造:ls
利用典型的SSTI渲染模块漏洞,使其输出了菜单内容,那输入cat /flag,后来发现要加上system(""),可能跟其语法有关:
以上是关于[BJDCTF2020]The mystery of ip的主要内容,如果未能解决你的问题,请参考以下文章