web第45题
[BJDCTF2020]Cookie is so stable
打开靶场
访问flag页面
一个输入框
访问hint页面,查看源码
提示与cookie有关
那么在flag页面输入后抓包观察
输入后显示
登陆后抓包显示为
做到这里又遇到新的知识点了,模板注入漏洞
参考大佬的博客:一篇文章带你理解漏洞之 SSTI 漏洞,讲的非常详细
漏洞原理:
模板注入检测方式:
Twig
{{7*‘7’}} 输出49
Jinja
{{7*‘7’}}输出7777777
证明存在模板注入漏洞
证明是twig框架的漏洞
漏洞详解即payload的构造原理:(引用于上述链接)
原理:也就是说通过向registerUndefinedFilterCallback函数中传入exec,此函数将exec赋值给filterCallbacks[],然后调用getFilter函数,并传入参数name(此参数作为我们需要命令执行的传入的语句),然后将filterCallbacks[]的值取出来即exec赋给callback,再使用call_user_func函数进行调用,相当于执行了call_user_func(exec,name的值),也就是说调用了exec函数,并且将name参数的值作为exec函数的参数,造成了命令执行
一般flag存在根目录下,构造payload:
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}
