ZhangAweio的博客

SSTI 就是服务器端模板注入，当前使用的一些框架，比如python的flaskphp的tp，java的spring等一般都采用成熟的的MVC的模式，用户的输入先进入Controller控制器，然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断，数据库存取，最后把结果返回给View视图层，经过模板渲染展示给用户。

原来是这个:将get_headers（）与用户提供的URL一起使用时，如果URL包含零（\ 0）字符，则URL将被静默地截断。这可能会导致某些软件对get_headers（）的目标做出错误的假设，并可能将某些信息发送到错误的服务器。这里多了一个 is_string 函数意思就是说必须为字符串，那么我们就不能用数组绕过了，我们可以考虑md5的碰撞。还让我达到2000分，做梦去吧，作为一个黑客，怎么能不修改源代码呢?首先看到的题目，应该是一个 CVE 具体是啥，我也没见过，我去翻翻资料。

看到题目的那一刻，判断它是对 “flag”进行了过滤，所以。只要数量够多就行，不一定是 / 其他的都是可以的。

这句话说明，只要我们上传的名字中包含 “.”的都会返回 403 “bad filename”这条代码就有意思了，明显是执行SQL语句的代码，插入 一个 id 和 文件地址 ，加文件名称。我们只需要 插入一个 文件名为 /flag 的就可以拿到 flag 了。看到条件大于65分就给你 flag，我们直接修改js代码。后面改成100 ，我们每次点的时候就的100分。这个题目就有意思了，考的的是python web。提示有个/source,我们打开它。我们将它关键的部分进行代码审计，，我们打开F12 看看有啥，

shell脚本绕过,传参绕过方法，那我们可以用SH脚本，用echo 的方式，先将要输出的文本转换成为base64，再用sh 的base64转换成 原文输出，进行代码绕过。在Linux中“|”管道符，上一条命令的输出，作为下一条命令的参数（显示后面的执行结果），可能是因为，输出的需要，先把ping 输出出来，后面的才能输出。直接 ls 看看，可以看到它对ls，是没有直接的过滤的，那我们可以尝试一下啊，查看一下flag.php。当我们直接发送一个空格的时候，它报错了，说明它对空格做了处理，再试试，flag试试。

这是一个Linux系统特有的文件路径，其中的“/proc”目录是一个特殊的虚拟文件系统，提供了对内核数据结构的访问和控制。在这个目录下，“1”代表的是PID为1的进程（也就是init进程）。而“environ”文件则保存了该进程启动时设置的环境变量，以及之后在该进程中使用 putenv() 或者 setenv() 等相关函数修改的环境变量。但是我们看不到我们想要的答案，那我们读取一下变量环境，也就是init。发现了无法请求，应该是有过滤的代码，我们试着加多点/可以题目有三个链接分别是。

看到使用的是smarty模板，那么我们就可以试试，应该是有rec漏洞的。发现报错了，证明有rec漏洞的存在，那我们就可以smarty模板注入。看到了有个 composer.json，我们打开它试试。tip：你可以使用 POST请求发送data。看到了这个文件，我们最后的payload就是。我们先对目录进行扫描试试，有啥东西。

看到中间的我我们只需要构造 admin = admin passwd = wllm就可以得到flag。绕过的姿势，只要是成员大于原来的成员都可以绕过这个函数，不会优先执行，很显然是错的答案，那我们试着寻找里面的哪个。那我们就要构造php反序列化。但是这题输出的既然是。

今天题目类型有sql注入、getshell、XFF伪造请求头、MD5简单绕过、rec远程命令执行、[SWPUCTF 2021 新生赛]easyrce、[SWPUCTF 2021 新生赛]Do_you_know_http、[SWPUCTF 2021 新生赛]babyrce。