[BJDCTF2020]The mystery of ip

题目 过程 1.抓包分析，flag.php，hint.php，index.php，发现貌似和ip有关 2.客户端请求头，XFF和client-ip都可。发现可以控制输入 3.尝试是否可以进行逻辑运算{7*8}，发现可以 4.尝试系统命令client-ip:{system('ls')}发现可以，尝试cat /flag,没有任何过滤

>>阅读原文<<