前言：

之前理解的ssti注入一直以为是python才有的，后来发现并不是的，应该说是服务器端模板注入，凡是使用模板的地方都有可能出现ssti注入！！

[BJDCTF2020]The mystery of ip

算是一道比较意外的题目吧，发现X-Forwarded-For的内容会被显示，想说会不会是命令注入尝试了一下发现被原样输出了，接下来就没有其他思路了
看了一下wp，发现是ssti注入，但是跟以前又不同，这里可以直接使用系统命令,所以是php模板注入！

[BUUCTF 2018]Online Tool

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

真正有用的是从下面get开始，我们可以看到两个不同寻常的函数:

[GXYCTF2019]BabySQli

这题曾经遇到过，查看源码:

pravite和Protected成员的序列化

private类

private声明的字段为私有字段，只在所声明的类中可见，在该类的子类和该类的对象实例中均不可见

private型在序列化的格式为:%00类名%00

简介：

服务端请求伪造（Server Side Request Forgery, SSRF）指的是攻击者在未能取得服务器所有权限时，利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。

前言:

nep比赛做了很多关于类的调用以及反序列化问题，正好这块内容是我还没学习的（早知道寒假的时候就耐着性子学完了），于是趁着部门的工作今天还没安排，决定赶紧开始做一下。

little trick

知识储备

**``**反引号：反引号可以用来执行系统命令

[HCTF 2018]admin

尝试了一下sql注入，发现不行，注册了一个账号找找线索，抓包看看回显，发现

easy_tornado

在hints.txt中发现文件包含，但是需要满足同时输入以下内容 我们不知道cookie_secret所以这里MD5解码一下然后去看一下