PHP的模板注入（Smarty模板）

Smarty是一个PHP的模板引擎，提供让程序逻辑与页面显示（HTML/CSS）代码分离的功能。对于该框架的SSTI漏洞很多文章往往只是一笔带过，讲解的重心往往在flask等框架上。本篇文章结合一道CTF题目对Smarty的SSTI漏洞进行了一定的分析。题目地址：https://buuoj.cn/challenges CISCN2019华东南赛区Web11

基本信息

题目模拟了一个获取IP的API，并且可以在最下方看到“Build With Smarty !”可以确定页面使用的是Smarty模板引擎。

题目中显示的API的URL由于环境的原因无法使用，但是我们的IP依旧显示在了页面的右上角。很容易猜测出这个IP的值受XFF头控制 。将XFF头改为{7*7}会发现该位置的值变为了49，便可以确定这里存在SSTI。

将XFF改为{system('cat /flag')}即可得到flag

Smarty SSTI利用

Smarty是基于PHP开发的，对于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别。

漏洞确认

一般情况下输入{$smarty.version}就可以看到返回的smarty的版本号。该题目的Smarty版本是3.1.30

常规利用方式

Smarty支持使用{php}{/php}标签来执行被包裹其中的php指令，最常规的思路自然是先测试该标签。但就该题目而言，使用{php}{/php}标签会报错：

在Smarty3的官方手册里有以下描述：

Smarty已经废弃{php}标签，强烈建议不要使用。在Smarty 3.1，{php}仅在SmartyBC中可用。

该题目使用的是Smarty类，所以只能另寻它路。

{literal} 标签

官方手册这样描述这个标签：

{literal}可以让一个模板区域的字符原样输出。 这经常用于保护页面上的Javascript或css样式表，避免因为Smarty的定界符而错被解析。

那么对于php5的环境我们就可以使用

<script language="php">phpinfo();</script>

// 从PHP7开始，这种写法<script language="php"></script>，已经不支持了

来实现PHP代码的执行，但这道题的题目环境是PHP7，这种方法就失效了。

静态方法

通过self获取Smarty类再调用其静态方法实现文件读写被网上很多文章采用。

Smarty类的getStreamVariable方法的代码如下：

public function getStreamVariable($variable)
{
        $_result = '';
        $fp = fopen($variable, 'r+');
        if ($fp) {
            while (!feof($fp) && ($current_line = fgets($fp)) !== false) {
                $_result .= $current_line;
            }
            fclose($fp);
            return $_result;
        }
        $smarty = isset($this->smarty) ? $this->smarty : $this;
        if ($smarty->error_unassigned) {
            throw new SmartyException('Undefined stream variable "' . $variable . '"');
        } else {
            return null;
        }
    }

可以看到这个方法可以读取一个文件并返回其内容，所以我们可以用self来获取Smarty对象并调用这个方法，很多文章里给的payload都形如：{self::getStreamVariable(“file:///etc/passwd”)}。然而使用这个payload会触发报错如下：

可见这个旧版本Smarty的SSTI利用方式并不适用于新版本的Smarty。而且在3.1.30的Smarty版本中官方已经把该静态方法删除。 对于那些文章提到的利用 Smarty_Internal_Write_File 类的writeFile方法来写shell也由于同样的原因无法使用。

{if}标签

官方文档中看到这样的描述：

Smarty的{if}条件判断和PHP的if非常相似，只是增加了一些特性。每个{if}必须有一个配对的{/if}，也可以使用{else} 和 {elseif}，全部的PHP条件表达式和函数都可以在if内使用，如||*, or, &&, and, is_array(), 等等，如：{if is_array($array)}{/if}*

既然全部的PHP函数都可以使用，那么我们是否可以利用此来执行我们的代码呢？

将XFF头改为{if phpinfo()}{/if}，可以看到题目执行了phpinfo()

用同样的方法可以轻松获得flag：

题目漏洞代码

通过getshell之后的文件读取，本题中引发SSTI的代码简化后如下：

<?php
	require_once('./smarty/libs/' . 'Smarty.class.php');
	$smarty = new Smarty();
	$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
	$smarty->display("string:".$ip);     // display函数把标签替换成对象的php变量；显示模板
}

可以看到这里使用字符串代替smarty模板，导致了注入的Smarty标签被直接解析执行，产生了SSTI。

[BJDCTF2020]The mystery of ip

和上面那道题一样的，进去之后，点击Flag页面后，显示一个IP：

在Hint页面查看源代码发现提示：

题目提示问为什么可以获取到客户端ip，考虑是XFF或Client-IP这两个header，测试后发现果然如此，这个ip可控

之前做过sql的http头部注入的题目，通过XFF读取IP存到数据库，再从数据库读出来显示，加上XFF可控，导致出现了SQL注入。但是这个题后试验后发现无果。这时，我又试了试xss，将XFF改为<script>alert(/xss/)</script>

但好像也没什么用。
这时我才想到会不会是ssti，

确实是ssti。

查看flag：

做出题之后再来分析一下这道题的源码，看一下flag.php的源码：

<?php
    require_once('header.php');
    require_once('./libs/Smarty.class.php');
    $smarty = new Smarty();
    if (!empty($_SERVER['HTTP_CLIENT_IP'])) 
    {
        $ip=$_SERVER['HTTP_CLIENT_IP'];
    }
    elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR']))
    {
        $ip=$_SERVER['HTTP_X_FORWARDED_FOR'];
    }
    else
    {
        $ip=$_SERVER['REMOTE_ADDR'];
    }
    //$your_ip = $smarty->display("string:".$ip);
    echo "<div class=\"container panel1\">
                <div class=\"row\">
                <div class=\"col-md-4\">    
                </div>
            <div class=\"col-md-4\">
                <div class=\"jumbotron pan\">
                    <div class=\"form-group log\">
                        <label><h2>Your IP is : ";
    $smarty->display("string:".$ip);
    echo "            </h2></label>
                    </div>        
                </div>
            </div>
                <div class=\"col-md-4\">    
                </div>
                </div>
            </div>";
?>

形成ssti的代码在这里：

$smarty->display("string:".$ip)      // display函数把标签替换成对象的php变量；显示模板

未经过任何过滤。
采用了Smarty模板引擎，导致了ssti。