从一道ctf题谈SmartySSTi

访客3年前关于黑客接单368

Smarty是一个PHP的模板引擎,提供前后端代码分离的功能。类似于flask又比Laravel thinkphp这些主流框架轻量, 对于该框架的SSTI漏洞很多文章往往只是一笔带过,讲解的重点通常在flask等框架上。本篇文章结合一道CTF题目对Smarty的SSTI漏洞进行了一定的分析.

题目地址:https://buuoj.cn/challenges[CISCN2019华东南赛区Web11]

题目描述

题目提供了一个读取XFF头的api ,页面最下方有Build With Smarty的字样,可以确定是用Smarty引擎写的.

基本上可以确定该页面存在SSTi的可能性

image-20210205152006634

将xff头从127.0.0.1改为127.0.0{1+2}出现如下结果

ssti无疑了

image-20210205223216938

最终payload是

X-Forwarded-For: {if var_dump(file_get_contents('/flag')) }{/if}

image-20210205223959164

Smarty SSTI 利用

Smarty是基于PHP开发的,对于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别。

漏洞确认

一般情况下输入{$ *** arty.version}就可以看到返回的 *** arty的版本号。该题目的Smarty版本是3.1.30

image-20210205224603767

常规利用方式

Smarty支持使用{php}{/php}标签来执行被包裹其中的php指令,最常规的思路自然是先测试该标签。但就该题目而言,使用{php}{/php}标签会报错:

image-20210205224833513

在Smarty3的官方手册里有以下描述:

Smarty已经废弃{php}标签,强烈建议不要使用。在Smarty 3.1,{php}仅在SmartyBC中可用。

该题目使用的是Smarty类,所以只能另寻它路。

{literal}标签

官方手册这样描述这个标签:

{literal}可以让一个模板区域的字符原样输出。这经常用于保护页面上的Javascript或css样式表,避免因为Smarty的定界符而错被解析。

那么对于php5的环境我们就可以使用

<script language="php">phpinfo();</script>

来实现PHP代码的执行,但这道题的题目环境是PHP7,这种 *** 就失效了。

静态 ***

通过self获取Smarty类再调用其静态 *** 实现文件读写被网上很多文章采用。

Smarty类的getStreamVariable *** 的代码如下:

public function getStreamVariable($variable)
{
? ? ? ?$_result='';
? ? ? ?$fp=fopen($variable, 'r+');
? ? ? ?if ($fp) {
? ? ? ? ? ?while (!feof($fp) && ($current_line=fgets($fp)) !==false) {
? ? ? ? ? ? ? ?$_result .=$current_line;
? ? ? ? ? }
? ? ? ? ? ?fclose($fp);
? ? ? ? ? ?return $_result;
? ? ? }
? ? ? ?$ *** arty=isset($this-> *** arty) ? $this-> *** arty : $this;
? ? ? ?if ($ *** arty->error_unassigned) {
? ? ? ? ? ?throw new SmartyException('Undefined stream variable "' . $variable . '"');
? ? ? } else {
? ? ? ? ? ?return null;
? ? ? }
? }

可以看到这个 *** 可以读取一个文件并返回其内容,所以我们可以用self来获取Smarty对象并调用这个 *** ,很多文章里给的payload都形如:{self::getStreamVariable("file:///etc/passwd")}。然而使用这个payload会触发报错如下:

Fatal error: Uncaught --> Smarty Compiler: Syntax error in template "string:<meta http-equiv="...">Current IP:{self::getStreamVariable(‘file:///etc/passwd’)}" static class 'self' is undefined or not allowed by security setting <-- thrown in /var/www/html/ *** arty/libs/sysplugins/ *** arty_internal_templatecompilerbase.phpon line 12

可见这个旧版本Smarty的SSTI利用方式并不适用于新版本的Smarty。而且在3.1.30的Smarty版本中官方已经把该静态 *** 删除。对于那些文章提到的利用 Smarty_Internal_Write_File 类的writeFile *** 来写shell也由于同样的原因无法使用。

{if}标签

官方文档中看到这样的描述:

Smarty的条件判断和PHP的if 非常相似,只是增加了一些特性。每个必须有一个配对的. 也可以使用和. 全部的PHP条件表达式和函数都可以在if内使用,如||, or, &&, and, is_array(), 等等

既然全部的PHP函数都可以使用,那么我们是否可以利用此来执行我们的代码呢?

正如开头所说的

题目漏洞代码

通过getshell之后的文件读取,本题中引发SSTI的代码简化后如下:

<?php
require_once('https://www.freebuf.com/articles/web/ *** arty/libs/' . 'Smarty.class.php');
$ *** arty=new Smarty();
$ip=$_SERVER['HTTP_X_FORWARDED_FOR'];
$ *** arty->display("string:".$ip);
}

可以看到这里使用字符串代替 *** arty模板,导致了注入的Smarty标签被直接解析执行,产生了SSTI。

参考资料

Smarty3的官方手册 https://www. *** arty.net/docs/

https://portswigger.net/research/server-side-template-injection

相关文章

哺乳期能吃鸡爪吗 哺乳期吃鸡爪影响下奶吗

在哺乳期间的妈妈们对自身的食材规定对比怀孕期间更严苛,由于许多食材都是会危害到自身给宝宝奶水的难题,那麼在哺乳期能吃凤爪吗 哺乳期间吃凤爪危害催奶吗。下边的我就来详细介绍。 哺乳期妈妈能吃凤爪吗...

苹果手机提醒被黑客入侵(苹果手机怎么设置提醒)-电脑受到黑客攻击怎么办

苹果手机提醒被黑客入侵(苹果手机怎么设置提醒)-电脑受到黑客攻击怎么办

苹果手机提醒被黑客入侵(苹果手机怎么设置提醒)(tiechemo.com)一直致力于黑客(HACK)技术、黑客QQ群、信息安全、web安全、渗透运维、黑客工具、找黑客、黑客联系方式、24小时在线网络黑...

学生时期最害怕的一门课是什么 为什么学生会特别的害怕一门课

在大家学员阶段,毫无疑问都是有自身的弱学科,真是看到了以后就头疼,但是哪些学科是最让学员担心的呢,我就而言讲吧。 学员阶段最担心的一门课是啥  那务必是数学课啊 数学课和自然地理我难以选择 文...

煲汤时间越长汤中的营养价值就越高吗 蚂蚁庄园8月15日答案

蚂蚁庄园8月15日庄园小课堂的难题是“熬汤時间越长,汤中的营养成分就越高吗”它是很多人易犯的常识问题不正确,觉得熬汤時间越长越好吃,实际上是不正确的,熬汤時间越长汤中的营养成分就越高吗?下边产生全方位...

定位他人位置无需同意(不用经过对方同意就可以定位)

  精准定位别人部位不用愿意(无需历经另一方愿意就可以精准定位)01短视频服务平台上的武器这年代,各种短视频网站为了更好地数据流量变现也是费尽心思了,各种各样广告宣传遮天盖地的另外,也为大家饭后茶余拥...

杭州商务外国

.在“杭州市商务外国模特”商务”这一领域里,有很多“经记”人也是干着黑喑的事情,她们会蒙骗这些刚做商务的这些新手,这种经纪人们便会把这种商务给“”拐骗”了,她们有些人会把这种和她们唱反调的商务卖到非州...