[BJDCTF2020]Cookie is so stable
线索:上传ID之后会返回cookei为ID,并且页面有包含ID的回显。hint提示也是指向cookie的。POST传参username={ID}&submit=submit,第二个参数是什么意思?
想想cookie能干什么呢?不知道...感觉像是模板注入,因为回显的内容在源码中是看不到的,应该是渲染出来的。
尝试{system('ls /')}但是没有特别的地方。直接看答案吧...
确实是模板注入,但是先要通过这张图中的测试判断用的是哪种模板,然后才能确定相关语法。妙啊!
该语句是能解析的,说明是Jinjia2或者Twig,了解到Jinjia2是python的模板,这里显然是php语言。因此确定是Twig。
playload:
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}
关于该playload的解析涉及到Twig相关函数功能。