第26天安全开发-PHP应用模板引用Smarty渲染MVC模型数据联动RCE安全

时间轴：

演示案例

新闻列表&模板引用-代码RCE安全

知识点

1、PHP 新闻显示-数据库操作读取显示

2、PHP 模版引用-自写模版&Smarty 渲染

3、PHP 模版安全-RCE 代码执行&三方漏洞

新闻列表

1.数据库创建新闻存储

2.代码连接数据库读取

3.页面进行自定义显示

navicat新建表：news

下面勾选自动递增：

名	类型	长度	是否是null	键
id	int	10	不是null	1
title	varchar	255	不是null
author	varchar	255	不是null
content	text		不是null
image	varchar	255	不是null

在表中自定义输入内容，效果如下图所示

（图片可以自己找，保存在对应路径就行了）

new.php

php"><?php
include 'config.php';$id=$_GET['id'] ?? '1';
$sql="select * from new where id = $id";
$data=mysqli_query($con,$sql);
while ($row=mysqli_fetch_row($data)) {echo "<title>" . $row['1'] . "</title><br>";echo $row['2'] . "<br>";echo $row['3'] . "<br>";echo "<img src='$row[4]' width='1000' height='3000'></img><br>";
}

显示如下：

模板调用：

演示1：

在php中改变，从而影响html，导致页面得到改变。

php代码如下：

php"><?php
include 'config.php';
$template = file_get_contents('new.html'); //读取new.html
$id=$_GET['id'] ?? '1';
$sql="select * from new where id = $id";
$data=mysqli_query($con,$sql);
while ($row=mysqli_fetch_row($data)) {echo "<title>" . $row['1'] . "</title><br>";echo $row['2'] . "<br>";echo $row['3'] . "<br>";echo "<img src='$row[4]' width='1000' height='3000'></img><br>";
}
$template=str_replace('{title}',$row['1'],$template); //str_replace:替换(search,替换为，替换对象（位置））
eval('?>'.$template);   //尝试确保$template字符串以PHP结束标签结束

html代码如下：

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>{Title}</title>
</head>
<body></body>
</html>

演示2：

数据库编辑：

news.html

<!DOCTYPE html>
<html>
<head><meta charset="UTF-8"><title>{page_title}</title><style>/* 一些样式 */body {font-family: Arial, sans-serif;margin: 0;padding: 0;}header {background-color: #4CAF50;color: white;text-align: center;padding: 20px;}nav {background-color: #f2f2f2;display: flex;justify-content: space-between;padding: 10px;}nav a {color: black;text-decoration: none;padding: 10px;border-radius: 5px;transition: background-color 0.3s ease;}nav a:hover {background-color: #4CAF50;color: white;}.container {max-width: 1200px;margin: 0 auto;padding: 20px;}h1 {font-size: 36px;font-weight: bold;margin-bottom: 20px;}p {font-size: 18px;line-height: 1.5;margin-bottom: 20px;}ul {margin-left: 20px;margin-bottom: 20px;}li {margin-bottom: 10px;}</style>
</head>
<body>
<header><h1>{heading}</h1>
</header>
<nav><a href="#">首页</a><a href="#">新闻</a><a href="#">留言</a><a href="#">关于</a>
</nav>
<div class="container"><h1>{subheading}</h1><p>{content}</p><img src="{$item}" width="1000" height="3000"></img></div>
</body>
</html>

news.php

php"><?php
include 'config.php';
$template = file_get_contents('new.html'); //读取new.html
$id=$_GET['id'] ?? '1';
$sql="select * from news where id = $id";
$data=mysqli_query($con,$sql);
while ($row=mysqli_fetch_row($data)) {$page_title=$row['1'];$heading=$row['2'];$subheading=$row['3'];$content=$row['4'];$item=$row['5'];//echo $page_title;
}//echo "$page_title<br>$page_title";$template=str_replace('{page_title}',$page_title,$template);
$template=str_replace('{heading}',$heading,$template);
$template=str_replace('{subheading}',$subheading,$template);
$template=str_replace('{content}',$content,$template);
$template=str_replace('{$item}',$item,$template);//str_replace:替换(search,替换为，替换对象（位置））
eval('?>'.$template);   //尝试确保$template字符串以PHP结束标签结束

效果演示：

总结：

使用模板可以减少每个页面都写html，且在php中改就可以影响html从而决定页面。

对于MVC模型：（v——>video视图）

使用模板保证了

1.效率 2.美观度

z-blog模板：

全局搜索：Powered By进行修改，找到WhitePage —>footer.php

效果演示：

总结：

找到首页文件可以在WhitePage中修改，其他首页内容和其也有关。

安全漏洞：

1.在数据库后台加上<?php phpinfo();?>(数据库中）

2.在new.html代码中加入<?php phpinfo();>后

使用new.php，会让new.php渲染new.html，会执行new.html中的php代码。

(所以当得到模板后加以修改，可以在后台执行）

#Smarty 模版引用

下载： https://github.com/smarty-php/smarty/releases

使用：

1、在phpstorm用文件夹创建一个文件夹，命名为 smarty-demo。(注意级别）

2、拉入demo项目

3、创建一个index.php，将代码复制进去。

4、将目录与代码中对应上

4.1—>新建一个index.tpl

4.2—>在里面写入html代码与index.php里的对应

5.在第三方模板index.tpl写上<?php phpinfo();?>不会显示

index.php:

（目录位置要和代码对应上）

php"><?php
// 引入 Smarty 类文件
require('smarty/libs/Smarty.class.php');
// 创建 Smarty 实例
$smarty = new Smarty;
// 设置 Smarty 相关属性
$smarty->template_dir = 'smarty/templates/';    //smarty目录和此smarty对应上
$smarty->compile_dir = 'smarty/templates_c/';
$smarty->cache_dir = 'smarty/cache/';
$smarty->config_dir = 'smarty/configs/';
// 赋值变量到模板中
$smarty->assign('title', '欢迎使用 Smarddddty');   //title和index.tql里的$title对应上
// 显示模板
$smarty->display('index.tpl');  
?>

在smarty中创建templates：

在templates下创建index.tpl

在index.tpl中放入html代码。

效果显示：打开index.php，在index.tpl写上<?php phpinfo();?>(不会显示）

安全漏洞：

CVE-2021-29454:

smarty<=3.1.32

将代码放入index1.tpl：（其他步骤一样）

index1.tpl：

php"><?phpdefine('SMARTY_ROOT_DIR', str_replace('\\', '/', __DIR__));define('SMARTY_COMPILE_DIR', SMARTY_ROOT_DIR.'/smarty3/templates_c');define('SMARTY_CACHE_DIR', SMARTY_ROOT_DIR.'/smarty3/cache');include_once(SMARTY_ROOT_DIR . '/smarty3/libs/Smarty.class.php');class testSmarty extends Smarty_Resource_Custom
{protected function fetch($name, &$source, &$mtime){$template = "CVE-2017-1000480 smarty PHP code injection";$source = $template;$mtime = time();}
}$smarty = new Smarty();
$smarty->setCacheDir(SMARTY_CACHE_DIR);
$smarty->setCompileDir(SMARTY_COMPILE_DIR);
$smarty->registerResource('test', new testSmarty);
$smarty->display('test:'.$_GET['x']);
?>

效果展示：（以x传参，x*/phpinfo();//）

如果版本及目录换成smarty（不是smarty3）：

则：

思路核心总结：

1.自己写的模板 rce安全问题
2.第三方smarty模板没有直接安全问题

他也有漏洞：
   1.本身代码漏洞
   2.第三方插件（ueditor）
   3.第三方模板（smarty）
   4.第三方组件（shiro fastjson等）

漏洞共享平台：

CNVD国家信息安全漏洞共享平台

信息收集：黑盒->插件

白盒->源码

模板->显示页面美观

框架->核心代码逻辑

组件->其他功能（类似插件）

框架模板组件分类：

php

1.框架：thinkphp yii laravel
核心开发代码逻辑核心（代码逻辑）

2.模板：smarty
负责主要显示页面美观的

3.组件：ZendGuardLoader php-imagick
第三方组件（图片处理，数据转换，数据库操作等）

java

框架：struts2 springboot ssm
模板：
组件：shiro fastjson

白盒：
黑盒：

端口扫描数据库包特征识别插件工具等

该文章由番薯小羊卷~和李豆豆喵共同完成。