[BJDCTF2020]The mystery of ip

题目

图片.png

过程
1.抓包分析,flag.php,hint.php,index.php,发现貌似和ip有关
图片.png

图片.png

2.客户端请求头,XFF和client-ip都可。发现可以控制输入
图片.png

3.尝试是否可以进行逻辑运算{7*8},发现可以
图片.png

4.尝试系统命令client-ip:{system('ls')}发现可以,尝试cat /flag,没有任何过滤
图片.png

你可能感兴趣的:([BJDCTF2020]The mystery of ip)