[BJDCTF2020]The mystery of ip|[CISCN2019 华东南赛区]Web11|SSTI注入 - ⎝⎛CodingNote.cc ⎞⎠

[BJDCTF2020]The mystery of ip|[CISCN2019 华东南赛区]Web11|SSTI注入

2022 年 6 月 30 日
笔记
BUUCTF刷题记录

记录一下BUUCTF中两个类似的SSTI注入关卡

[BJDCTF2020]The mystery of ip-1:

1、打开之后显示如下：

2、在hint.php中进行了相关提示，如下：

3、既然获取的是ip地址信息，那我们此时应该想到包信息中与ip地址相关的参数：X-Forwarded-For，进行尝试，结果如下：

4、那就对X-Forwarded-For参数进行修改，尝试sql类注入，失败，那就在尝试下ssti注入，结果成功，如下：

[CISCN2019 华东南赛区]Web11

1、打开之后显示如下：

2、查看API Usage是通过X-Forwarded-For来获取客户端的ip地址信息，尝试sql类注入，失败，那就在尝试下ssti注入，结果成功，如下：

Tags: BUUCTF刷题记录

Previous post

君迪调查：红旗获中国自主品牌销售服务满意度第一

Next post

设计模式之概述篇