题目的提示是CVE-2020-28483,我提前去查了一下。A flaw was found in gin when exposed directly to the internet, a client’s IP can be spoofed by setting the X-Forwarded-For header.
意思就是说用了gin框架的会出现漏洞可以用XFF文件头伪造admin
打开题目看到提示:
X-Real-ip:127.0.0.1
注意到这个id和名字,我们切换试试
直到最后换到4,观察结果
让我添加年龄
似乎是把我的输入给输出出来了,那我们试试模板注入
意思是什么呢?go语言中使用的是{{.name}}代表要应用的对象,所以可以让age={{.Password}}
