根据红日安全写的文章,学习PHP代码审计审计的第二节内容,题目均来自PHP SECURITY CALENDAR 2017,讲完这个题目,会有一道CTF题目来进行巩固,外加一个实例来深入分析,想了解上一篇的内容,可以点击这里:PHP代码审计01之in_array()函数缺陷 下面我们开始分析。
首先我们访问页面看看,结合题目描述我们猜测到,漏洞产生的点可能是这个Summ3r 安全中心,也就是对应题目Security Center,那么这个页面的接口redirect.php以Get请求接收url参数,所以注入的点就非常有可能在这个地方。除此之外我们还会发现,注释处隐藏了hint,我们访问一下installed.json文件,发现项目使用了框架sympony和twig,twig是个php的模板语言,那么这时候我们已知使用了twig这个模板语言并且已知twig的版本是3.x,然后我们进行SSTI即可。
这里考察的是XSS漏洞。对于XSS漏洞,大部分出现的地方在输出环节,如 echo var; var可控且无过滤,或者过滤不严格,导致了XSS漏洞的产生。
Smarty在模板中无法直接调用 php 中直接执行命令的函数。 $smarty内置变量可用于访问各种环境变量,使用self得到smarty类。
4.9.2之前的phpMyAdmin中发现了一个问题。 攻击者通过精心设计的数据库名或者表名,可通过设计器功能触发SQL注入攻击。
大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并结合实际CMS进行解说。在文章的最后,我们还会留一道CTF题目,供大家练习,希望大家喜欢。下面是 第2篇 代码审计文章:
大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并结合实际CMS进行解说。在文章的最后,我们还会留一道CTF题目,供大家练习,希望大家喜欢。下面是 第2篇代码审计文章:
-----------------------------------------------------------------------------------
一个百无聊赖的周日晚上,我在知识星球闲逛,发现有一个匿名用户一连向我提出了两个问题:
这是文件上传中常用的一个函数,文件被上传结束后,默认地被存储在了临时目录中,这时必须将它从临时目录中移动到其它地方,因为脚本执行完后,临时目录里的文件会被删除。所以要在删除之前用 PHP 的 copy() 或者 move_upload_file() 函数将它复制或者移动到其它位置,到此,才算完成了上传文件过程。
SSTI(Server Side Template Injection),又称服务端模板注入攻击。其发生在MVC框架中的view层,常见的用于渲染的模板有Twig、FreeMarker、Velocity、Smarty等。
使用 Twig 开发包来提供视图的功能。项目地址 : https://github.com/twigphp/Twig 。
模板引擎会提供一套生成HTML代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端HTML页面,然后反馈给浏览器,呈现在用户面前。
对于一个需要灵活更改配置的项目来说,配置中心是必不可缺的一个功能。它可以帮我们统一管理配置项,降低了更改配置时对系统造成误操作的风险。
在本节中,我们将介绍什么是服务端模板注入,并概述利用此漏洞的基本方法,同时也将提供一些避免此漏洞的建议。
Composer是新一代的PHP依赖管理工具。其介绍和基本用法可以看这篇《Composer PHP依赖管理的新时代》。本文介绍使用Composer的五个小技巧,希望能给你的PHP开发带来方便。
作者 | 原作者gosecure,翻译整理shan66 来源 | http://gosecure.github.io/ 1.简介 所谓模板注入,又称服务器端模板注入(SSTI),是2015年出现的一类安全漏洞。James Kettle在2015年黑帽大会上进行的演讲,为多个模板引擎的漏洞利用技术奠定了坚实的基础。要想利用这类安全漏洞,需要对相关的模板库或相关的语言有一定程度的了解。 首先,本文将对模板注入漏洞进行相应的介绍,帮读者深入了解各种攻击模式,以更好地识别潜在的漏洞。然后,我们将考察5种不同的模
【原因】 php 的 php_openssl.dll 模块有关,默认 php.ini 是没有开这个模块的。
在网站开发过程中模版引擎是必不可少的,PHP中用的最多的当属Smarty了。目前公司系统也是用的Smarty,如果要新增一个页面只需把网站的头、尾和左侧公共部分通过Smarty的include方式引入进来,然后主体部分写内容即可,用起来也是相当方便。这也是一种比较通用的做法。但维护一段时间后发现有些凌乱了:
在MVC的设计模式下,一般从 Model 层中读取数据,然后将数据传到 View 层渲染(渲染成 HTML 文件),而 View 层一般都会用到模板引擎。
PHP 是一种通用开源脚本语言。语法吸收了 C 语言、Java 和 Perl 的特点,利于学习,使用广泛,主要适用于 Web 开发领域,是大多数后端开发者的首选。
上篇文章简单介绍了一下loader API,那么除了我们常用的css-loader,sass-loader,style-loader,url-loader,vue-loader之外,还有哪些loader呢,我们一起来梳理一下。
关于SSTImap SSTImap是一款功能强大的渗透测试工具,该工具提供了一个交互式接口,可以帮助广大研究人员以自动化的形式检查网站的代码注入和服务器端模版注入漏洞。除此之外,该工具甚至还可以帮助我们自动利用这些发现的漏洞,从而访问目标服务器(主机)操作系统。 该工具还引入了沙盒逃逸技术,具体细节请查阅文章结尾的参考资料。 值得一提的是,该工具能够利用一些代码上下文转义和盲注场景。并且支持Python、Python、Ruby、PHP、Java和通用的未标记模板引擎中类似eval()的代码注入。
目标其实是完成如下的需求,如果有想看源码的,可以看下sf官网出的一个demo。
当我们在PHP中讨论模板引擎时,许多开发人员会告诉你,这是没有必要的,他们会说这是学习时间和资源的浪费,因为PHP本质上也是一个模板引擎。但是当你看过很多框架之后,你会发现很多框架都会有模板引擎的存在,所以说php中的模板引擎还是有必要了解一下的。
PHP是世界上最受欢迎的编程语言之—。最近发布的PHP7令这种服务器的编程语言比以前变得更好,更稳定了。
这几天在opencart 3模板时发生了一个很奇怪的事情,ytkah明明已经将product.twig模板修改了,但是前端产品页就是没有变化,后台刷新缓存了也不起左右。后面想着把模板重命名成product000.twig,产品页居然还能显示,这就更奇怪了。进服务器查看一下log日志,发现PHP Exception: 0, Unable to find template "default/template/extension/module/new_product.twig" (looked into: /www/wwwroot/ytkah/system/storage/modification/catalog/view/theme, /www/wwwroot/ytkah/catalog/view/theme). 这就说明其他地方还有那个product.twig模板,进入/www/wwwroot/abc.com/system/storage/modification/catalog/view/theme/product,果然有一个product.twig模板,把这个文件隐藏,前端产品页终于成功修改了 产生这个问题的原因应该是打开了模板缓存开关,我们在调试的时候自动生成了缓存放在storage里面,然后前端模板是调用这个模板,所以我们在/catalog/view/theme/ytkah/template/product/一直修改都没起作用
a framework for learning php https://github.com/ShyZhen/FakePHP
SQL注入攻击是通过WEB表单提交、URL参数提交或Cookie参数提交,将怀有恶意的“字符串”,提交到后台数据库,欺骗服务器执行恶意的SQL语句。
PHP是世界上最流行的编程语言之一,并且最近PHP7的发布让这门服务器端的编程语言比以往更加的强大和稳定。
WebStorm中没有swig插件,我们可以用另一个插件“twig”替代,方法如下:
PHP 是一种 HTML 内嵌式的在服务器端执行的脚本语言,所以大部分 PHP 开发出来的 Web 应用,初始的开发模板就是混合层的数据编程。虽然通过 MVC 设计模式可以把程序应用逻辑与网页呈现逻辑强制性分离,但也只是将应用程序的输入、处理和输出分开,网页呈现逻辑(视图)还会有 HTML 代码和 PHP 程序强耦合在一起。 对于良好的可维护性的中型项目(在我看来是超过 4 个页面),对页面的逻辑视图进行分隔是至关重要的。在一个有着几个页面的应用程序,使用在页面中插入包含的所有必要逻辑可能就足够了,但是当
ssti注入又称服务器端模板注入攻击(Server-Side Template Injection),和sql注入一样,也是由于接受用户输入而造成的安全问题。
本篇博文是《从0到1学习安全测试》中漏洞复现系列的第三篇博文,主要内容是通过修复方案来分析 Cecil 存在跨目录任意读取文件漏洞的原因,并对此进行复现,往期系列文章请访问博主的 安全测试 专栏;
项目地址:https://github.com/ayuayue/php-frame
Symfony是一个web应用开发框架,包含一组可重用的PHP组件。Symfony已经应用于上千个web应用,包括BlaBlaCar.com和Spotify.com以及大多数流行的PHP项目中,例如Drupal和Magento。
依赖管理 ——用于依赖管理的包和框架 Composer/Packagist : 一个包和依赖管理器 Composer Installers: 一个多框架Composer库安装器 Pickle: 可以在任意平台上安装PHP扩展包 依赖管理的附加部分 ——其它依赖管理的相关工具 Satis : 静态的Composer库生成器 Composition: 一个运行时检查Composer环境的库 Version : 一个在语义上分析和比较的库 NameSpacer : 将下划线转为命名空间的库 Patch In
Opencart 3的menu菜单默认只调用一级和二级菜单,但很多电商网站类目复杂,三级菜单一般都是需要的,甚至更深,那么如何调用三级菜单level 3 sub categories呢?ytkah有一些思路可以参考一下。
1、Blade 概述 与视图文件紧密关联的就是模板代码,我们在视图文件中通过模板代码和 HTML 代码结合实现视图的渲染。和很多其他后端语言不同,PHP 本身就可以当做模板语言来使用,但是这种方式有
opencart3产品页默认只调用标题、价格、型号等几个数据,如果想要调用更多的参数要如何操作呢?跟着ytkah一起来看看吧。首先打开/catalog/model/catalog/product.php找到public function getProduct(大概在第7行左右),找到return array(大概在第11行),你就会看到类似于下面代码的产品数据了,看看是不是列出了所有的产品参数信息
本文我将为大家演示,如何利用服务器端模板注入(SSTI)漏洞,来获取应用托管服务器上的shell。
最近在看symfony,发现laravel里面也引用了这个框架,国内关于symfony的资料不是很多,但是体验了以下之后,感觉还是不错的,所以记录下踩坑之旅。这是[官方文档](https://symfony.com)
Sublime Text 3 就 Sublime Text 3 来说主要的扩展包如下 All Autocomplete 自动补全,默认 Sublime Text 只会补全本文件的内容,此扩展会补全所有的 BracketHighlighter 高亮匹配的括号,和一切可以匹配的符号 CTags 著名的代码索引 DocBlockr 快速写注释的 Function Name Display 在状态栏显示当前的函数名称 Laravel Blade Highlighter Blade 语法高亮 PHP Co
xml(可扩展标记语言)也是一种人类可读的标记语言,但是如同 json 文件一样,没有缩进格式(或者压缩)的 xml 文件,读起来那是挺头疼的。
Express官方提供 express-generator 可以快速创建一个Express应用的骨架。
SSTI,服务器端模板注入(Server-Side Template Injection)
几年前 ES6 刚出来的时候接触过 元编程(Metaprogramming)的概念,不过当时还没有深究。今天在应用和学习中不断接触到这概念,比如 mobx 5 中就用到了 Proxy 重写了 Observable 对象,觉得有必要梳理总结一下。
CodeIgniter 你可以在任何地方使用它们,并且不需要加载任何 类库或辅助函数。
不久前,我开始了一个管理真实网络蜜罐的项目。最初我建立它是为了管理一些WordPress蜜罐,但在Drupalgeddon2出来后,使我不得不重新构建该项目。这意味着我需要相当长的一段时间才能最终发布它。现在,我终于能够分享我的努力成果了:https://gitlab.com/SecurityBender/webhoneypot-framework。
本文仅供学习参考,其中涉及的一切资源均来源于网络,请勿用于任何非法行为,否则您将自行承担相应后果,我不承担任何法律及连带责任。 一、Insecure deserialization 01 Modifying serialized objects 描述 本实验使用基于序列化的会话机制,因此容易受到权限提升的影响。为解决实验室,编辑会话cookie中的序列化对象以利用此漏洞并获得管理权限。然后,删除 Carlos 的帐户。 您可以使用以下凭据登录自己的帐户:wiener:peter 解决方案 此实验与权限提升有
领取专属 10元无门槛券
手把手带您无忧上云