從hint.php可以找到提示,要求觀察cookies

開啟flag.php可以看到需要輸入使用者名稱,多次試驗後發現輸入的使用者名稱會以cookies的方式儲存



使用dirsearch掃描沒有發現什麼有用的資訊,一開始以為是cookies注入,但是沒有找到sql注入點

猜測使用者名稱的回顯含有ssti漏洞,於是嘗試輸入

{7+7}

但是發現+變成了空格,於是改為了{7*7}也沒有什麼反應,後面才知道要兩個大括號{{7*7}}

才行



經檢驗發現是Twig



上網搜尋Twig的payload但是套用不了,後面看別人的paylaod發現清一色都是

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}不知道怎麼來的