LCTF 2018 bestphp's revenge
考点:Soap原生类+Session反序列化+CRLF注入 <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'] = $_GET['name']; } var_dump($_SESSION); $a = array(reset($_SESSION), 'welcome_to_the_lctf2018'); call_user_func($b, $a); ?> dirsearch扫描目录后发现存在 flag.php only localhost can get flag!session_start(); echo 'only localhost can get flag!'; $flag = 'LCTF{*************************}'; if($_SERVER["REMOTE_ADDR"]==="127.0.0.1"){ $_SESSION['flag'] = $flag; } only localhost can get flag! $_SERVER["REMOTE_ADDR"] 不可能被伪造 考虑SSRF 通过本地访问后 flag存在session中 将session和cookie用CRLF拆分响应 可以结合首页 回显flag具体的值 ...