欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

SSTI( 服务器模板注入)以及常见利用方式

程序员文章站 2022-05-15 21:27:08
...

SSTI( 服务器模板注入)以及常见利用方式

0x00 前言

简单介绍下,由于模板引擎支持使用静态模板文件,并在运行时用HTML页面中的实际值替换变量/占位符,从而让HTML页面的设计变得更容易。当前广为人知且广泛应用的模板引擎有Smarty、Twig、Jinja2、FreeMarker和Velocity。

简而言之,我们如果在开发过程中,如果选择使用的字符串格式化将URL动态添加到模板字符串中并返回到页面中,这时用户对模板是可控的。

0x01 漏洞演示

根据清风师傅在文章中所提到的,我们原版来分析下:

SSTI( 服务器模板注入)以及常见利用方式

SSTI( 服务器模板注入)以及常见利用方式

针对于模板可控,带入触发XSS

http://127.0.0.1:5000/<script>alert(/xss/)</script>

SSTI( 服务器模板注入)以及常见利用方式

Jinjan2 基础语法

{% ... %}
​
{{ ... }}
​
{# ... #}

模版引擎成功解析

http://127.0.0.1:5000/aaa{{1+2}}

SSTI( 服务器模板注入)以及常见利用方式

鸡肋拒绝服务攻击

request 是Flask模版的一个全局对象,其代表 “当前请求对象(flask.request)”,在request 对象中有一个environ对象名。
​
request.environ 对象是一个与服务器环境相关的对象字典,字典中一个名为 shutdown_server 的方法名分配的键为 werkzeug.server.shutdown 。
​
注射 {{ request.environ['werkzeug.server.shutdown']() }} 会造成拒绝服务。

获取配置项目信息

config 也是 Flask模版中的一个全局对象,它包含了所有应用程序的配置值。
​
{{ config.items() }}    // 查看配置项目的信息     
​
输入:http://127.0.0.1:5000/a{{ config.items() }}

更多详情链接:http://www.pythondoc.com/flask/config.html

SSTI( 服务器模板注入)以及常见利用方式

SSTI( 服务器模板注入)以及常见利用方式

config是一个类字典对象,它的子类包含很多方法:from_envvar, from_object, from_pyfile, root_path。

Flask/config.py
​
def from_object(self, obj): 

SSTI( 服务器模板注入)以及常见利用方式

1. from_object  遍历新加模块中的所有大写的变量的属性并添加属性 
​
2. 并且这些添加到config对象的属性都会维持他们本来的类型
​
3. 验证:我们将 {{ config.items() }} 注入到存在SSTI漏洞的应用中,注意当前配置条目
​
4. 注入  {{ config.from_object('os') }}。这会向config对象添加os库中所有大写变量的属性
​
5. 再次查看  {{ config.items() }}     ;    os 模块中大写变量的属性成功添加属性cf 

0x02 获取服务器shell

同步参考文章,这里面还是主要采用MSF的php马反弹shell(php有效载荷远程下载后,进行访问获取服务器shell权限)进行获取服务器权限

https://medium.com/@david.valles/gaining-shell-using-server-side-template-injection-ssti-81e29bb8e0f9

0x03 修复意见

针对于不同的模板引擎,该漏洞的修复方法会有所不同,但如果在传递给模板指令之前,对用户输入进行安全过滤的话,则可以大大减少这类威胁。此外,另一种防御方法是使用沙箱环境,将危险的指令删除/禁用,或者对系统环境进行安全加固。

0x04 参考连接

http://www.secbook.info/index.php/archives/51.html

https://xz.aliyun.com/t/2637

https://portswigger.net/blog/server-side-template-injection

https://nvisium.com/blog/2016/03/11/exploring-ssti-in-flask-jinja2-part-ii.html

转载请注明:Adminxe's Blog » SSTI( 服务器模板注入)以及常见利用方式