信息收集，加密打开之后只有这一段话，尝试搜索页面，最后找到了/secret让我们传入数值他会给我们加密随便传入一个发现是有加密的，之后我们可以随便输入点东西看看有没有报错页面很亮眼这里其实就是对我们输入参数的一个判断，首先判断你是不是为空，如果是空的参数，则返回一段话，就

进入题目注册一个账号登录进去后上传一个文件发现只能上传图片下载删除时分别抓包发现在download.php里下载，在delete.php处删除发现filename参数，有任意文件下载漏洞下载download.php,delete.php目录遍历在delete.php里发现class.phpdb=$db;}publi

进入题目发现一个超链接、右键检查发现/read?url路径猜测后端语言不是php是python点击超链接跳转到百度猜测存在ssrf漏洞访问/etc/passwd成功尝试访问/app/app.py源码成功encoding:utf-8importre,random,uuid,urllibfromflaskimportFlask,session,requesta

进入题目查看源码发现id参数可用sql注入脚本目录扫描发现robots.txt尝试fuzz爆破参数发现image.php.bak可用<?phpinclude"config.php";$id=isset($_GET["id"])?$_GET["id"]:"1";$path=isset($_GET["path"])?$_GET["path"]:"&

进入题目注意到xff在url处随意输入目录·xff随之变化注意下放smarty是php模板猜测xff为模板注入点如下用if标签看到回显得到flagflag{6efda977-94fb-4d30-8668-fe28458ec2bf}

进入题目由于请求不能过快，目录扫描工具失效可写脚本，根据题目两个secret,猜测有serect目录访问猜测还有一个secret参数随意输入发现源码泄露注意到有flask,考虑python模板注入注意到发现rc4加密找师傅的加密脚本importbase64fromurllib.parseimportquotedef

原理smartySSTI模板注入解题过程首先进入靶场，看到currentIP，猜测是自己的ip，怎么获取的，大概率是请求包的X-Forwarded-For字段之后又看到了文件底部的smarty，是php的一种模板，思路清晰了，估计是在X-forwarded-for进行ssti注入二话不说抓包没看到X-Forwarded-For字段咋办，自己写

切入点如图：测试模板注入最后或者payload：X-Forwarded-For:{ifreadfile('/flag')}{/if}原理是Smarty已经废弃{php}标签。在Smarty3.1，{php}仅在SmartyBC中可用。Smarty的{if}条件判断和PHP的if非常相似，只是增加了一些特性。每个{if}必须有一个配对的{/if}。全部的PHP条件表

注意到了banner中信息说是smarty，并且将XFF输出到页面直接尝试Smarty模板注入{$smarty.version}Smarty3官方手册：https://www.smarty.net/docs/zh_CN/language.function.if.tpl{ifsystem('ls-lha/')}{/if}{ifsystem('cat/flag')}{/if}

[CISCN2019华东南赛区]DoubleSecret考点：1、RC4加密 2、FlaskのSSTI进去一脸懵逼，常规流程走一套啥也没发现然后先是看到了毫无用处的robots.txt，dirsearch扫了一遍也没

title:ciscn2019华北赛区Day1Web1dropbox.mddate:2022-06-2620:56:10tags:进去之后呢看到一个登录框然后注册一个账号进去看到有上传文件的东西然后试试上传一个