简要描述:
Smarty是PHP下广泛使用的前端模板框架。但由于Smarty3引入了新的特性,导致在某些情况下,可以利用特性组合直接远程执行任意代码。
详细说明:
此漏洞原作者:cly,我代为发布而已:)
由于Smarty3中引入了两个特性: 1、如果display,fetch等方法的模板路径参数接受到的模板文件名是以[string:]或者[eval:]开头的,smarty3就会将此后的字符串值作为模板文件内容,重新编译并执行之。参考连接: http://www.smarty.net/docs/en/template.resources.tpl#templates.from.string 2、smarty3的模板语言中,可以利用{phpfunction()}等方式直接在smarty tag中执行php表达式。而smarty2中则不支持。参考连接: http://www.smarty.net/docs/en/language.syntax.variables.tpl
因此,利用以上两个特性相结合,如果用户可以控制模板文件名,即可执行任意php表达式。
同样的,利用smarty3的resource特性,还可以直接利用[file:]协议直接远程包含任意文件。因为底层是使用fopen函数实现的文件打开,而默认的php配置中,虽然禁止了remote_file_include,但是对于remote_file_open却是允许的。利用这一个特性,让早已消失已久的RFI经典 漏洞 类型重见天日了。:) 漏洞证明:1、如果在编写代码的过程中存在如下逻辑的代码,即将用户输入带入代码逻辑获取:
$smarty->display($_REQUEST['tpl'].].tpl]); 2、用户可以在访问脚本时,在URL中指定特定参数,如[?tpl=string:{phpinfo()}],即可执行phpinfo代码。
修复方案:
去除所有使用用户输入作为模板名进行渲染的代码,使用白名单方式限制只允许载入已知的tpl文件。
查看更多关于Smarty3网络设计缺陷/逻辑错误致远程代码执行漏洞的详细内容...