Smarty是一个PHP的模板引擎,提供前后端代码分离的功能。类似于flask又比Laravel thinkphp这些主流框架轻量, 对于该框架的SSTI漏洞很多文章往往只是一笔带过,讲解的重点通常在flask等框架上。本篇文章结合一道CTF题目对Smarty的SSTI漏洞进行了一定的分析.
题目地址:https://buuoj.cn/challenges[CISCN2019华东南赛区Web11]
题目提供了一个读取XFF头的api ,页面最下方有Build With Smarty的字样,可以确定是用Smarty引擎写的.
基本上可以确定该页面存在SSTi的可能性
将xff头从127.0.0.1改为127.0.0{1+2}出现如下结果
ssti无疑了
最终payload是
X-Forwarded-For: {if var_dump(file_get_contents('/flag')) }{/if}
Smarty是基于PHP开发的,对于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别。
一般情况下输入{$ *** arty.version}就可以看到返回的 *** arty的版本号。该题目的Smarty版本是3.1.30
Smarty支持使用{php}{/php}标签来执行被包裹其中的php指令,最常规的思路自然是先测试该标签。但就该题目而言,使用{php}{/php}标签会报错:
在Smarty3的官方手册里有以下描述:
Smarty已经废弃{php}标签,强烈建议不要使用。在Smarty 3.1,{php}仅在SmartyBC中可用。
该题目使用的是Smarty类,所以只能另寻它路。
官方手册这样描述这个标签:
{literal}可以让一个模板区域的字符原样输出。这经常用于保护页面上的Javascript或css样式表,避免因为Smarty的定界符而错被解析。
那么对于php5的环境我们就可以使用
<script language="php">phpinfo();</script>
来实现PHP代码的执行,但这道题的题目环境是PHP7,这种 *** 就失效了。
通过self获取Smarty类再调用其静态 *** 实现文件读写被网上很多文章采用。
Smarty类的getStreamVariable *** 的代码如下:
public function getStreamVariable($variable) { ? ? ? ?$_result=''; ? ? ? ?$fp=fopen($variable, 'r+'); ? ? ? ?if ($fp) { ? ? ? ? ? ?while (!feof($fp) && ($current_line=fgets($fp)) !==false) { ? ? ? ? ? ? ? ?$_result .=$current_line; ? ? ? ? ? } ? ? ? ? ? ?fclose($fp); ? ? ? ? ? ?return $_result; ? ? ? } ? ? ? ?$ *** arty=isset($this-> *** arty) ? $this-> *** arty : $this; ? ? ? ?if ($ *** arty->error_unassigned) { ? ? ? ? ? ?throw new SmartyException('Undefined stream variable "' . $variable . '"'); ? ? ? } else { ? ? ? ? ? ?return null; ? ? ? } ? }
可以看到这个 *** 可以读取一个文件并返回其内容,所以我们可以用self来获取Smarty对象并调用这个 *** ,很多文章里给的payload都形如:{self::getStreamVariable("file:///etc/passwd")}。然而使用这个payload会触发报错如下:
Fatal error: Uncaught --> Smarty Compiler: Syntax error in template "string:<meta http-equiv="...">Current IP:{self::getStreamVariable(‘file:///etc/passwd’)}" static class 'self' is undefined or not allowed by security setting <-- thrown in /var/www/html/ *** arty/libs/sysplugins/ *** arty_internal_templatecompilerbase.phpon line 12
可见这个旧版本Smarty的SSTI利用方式并不适用于新版本的Smarty。而且在3.1.30的Smarty版本中官方已经把该静态 *** 删除。对于那些文章提到的利用 Smarty_Internal_Write_File 类的writeFile *** 来写shell也由于同样的原因无法使用。
{if}标签
官方文档中看到这样的描述:
Smarty的条件判断和PHP的if 非常相似,只是增加了一些特性。每个必须有一个配对的. 也可以使用和. 全部的PHP条件表达式和函数都可以在if内使用,如||, or, &&, and, is_array(), 等等
既然全部的PHP函数都可以使用,那么我们是否可以利用此来执行我们的代码呢?
正如开头所说的
通过getshell之后的文件读取,本题中引发SSTI的代码简化后如下:
<?php require_once('https://www.freebuf.com/articles/web/ *** arty/libs/' . 'Smarty.class.php'); $ *** arty=new Smarty(); $ip=$_SERVER['HTTP_X_FORWARDED_FOR']; $ *** arty->display("string:".$ip); }
可以看到这里使用字符串代替 *** arty模板,导致了注入的Smarty标签被直接解析执行,产生了SSTI。
Smarty3的官方手册 https://www. *** arty.net/docs/
https://portswigger.net/research/server-side-template-injection
本文我得先从我最近参加的一个安全检测项目开端谈起,本次的客户是一家企业,不得不说,本次咱们的客户的安全防护做得非常好。他们的安全运营中心(SOC)装备了许多先进的内部反常检测东西以及坚强的作业呼应团队...
在这个时代,我们总会用一些方式去消遣自己的心情,就好比如吃吃烧烤或者是KTV。烧烤应该是现代年轻人比较喜欢的一个事物了,每每到了晚上,约三五个朋友在宵夜摊坐下吃几个烤串,在喝几瓶啤酒...
现在有种软件就是你做个软件类似CF解封器呀绑定上你的邮箱只要有人一用那么他的QQ跟密码自动发到你的邮箱里现在盗号没那么简单了大家都设。 告诉号主给他一万块买他都QQ不行就十万,一百万,一千五只要你出...
女学妹基本资料 名字:郑薇民 性別:女 岗位:学员 文凭:大学本科 十二星座:巨蟹座 三围:胸65腰92臀67 鞋号:36 肌肤:乳白色 双眼:蓝眼睛 秀发:黝黑 现阶段居所:海淀区 可演译的设...
qvod加速器下载2011-01-0509:06提问者:匿名我来帮他解答回答共1条2011-01-0521:13sunhuajun520|三级q|评论 快播(又叫qvod或Q播)是一款国内自主研发的基...
今日,由陈木胜导演,陈木胜和甄子丹监制,甄子丹、谢霆锋、秦岚领衔主演的犯罪动作大片《怒火·重案》发布定档预告,宣布将...