通过SSTI漏洞获取服务器远程Shell

PS:本文仅作为技术分享,禁止用于任何非法用途

本文我将为大家演示,如何利用服务器端模板注入(SSTI)漏洞,来获取应用托管服务器上的shell。

模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会生成一个标准的HTML文档。静态模板文件会在运行时将变量/占位符替换为HTML页面中的实际值。当前流行且使用广泛的模板引擎有Smarty,Twig,Jinja2,FreeMarker,Velocity。

服务器端模板注入(SSTI)漏洞将允许攻击者将注入模板指令作为用户输入,从而导致任意代码的执行。如果你查看了网页的源码,并看到了类似于以下的代码片段,则基本可以断定该应用程序可能正在使用某种模板引擎来呈现数据。

在这里我推荐大家一个专为安全人员而开发的渗透演练靶场Xtreme Vulnerable Web Application(XVWA),这其中就包含了我们本文中所探讨的SSTI漏洞。下载地址:https://github.com/s4n7h0/xvwa。

我注入了我最喜欢的探测语句${{1300+37}},并成功收到了1337美元的服务器响应结果。这说明该应用程序使用的模板引擎语法为{{ }}。

其实在页面上也已明确的告知我们,其使用的模板引擎为TWIG。除了简单的数学运算之外,我们还可以通过注入以下指令来实现任意命令执行操作。如下所示,我们利用模板指令来执行一个简单的“id”命令。

可以看到,命令被成功执行并获取到了我们想要的结果。

但更令我感到高兴的是,我获取到了服务器上的shell。我快速生成了一个php meterpreter payload,并让它在服务器上执行,最终我成功获取到了一个远程shell!如下:

防御

对于不同的模板引擎,防御方案也不相同。但做好对用户输入的清理/过滤,将能大大的降低此类问题带来的安全威胁。另一个选择是创建一个安全加固/沙箱环境,禁用或删除潜在的危险指令。

相关参考

https://portswigger.net/blog/server-side-template-injection https://nvisium.com/blog/2016/03/11/exploring-ssti-in-flask-jinja2-part-ii.html

*参考来源:medium ,FB小编 secist 编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-09-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏编程坑太多

『高级篇』docker之kubernetes基础集群部署(上)(33)

  ETCD保证了数据的存储,保证了数据的高可用,还有数据的一致性,它跟zookeeper类似。kubernetes需要存储很多东西,像它本身的节点信息,组件信...

963
来自专栏有困难要上,没有困难创造困难也要上!

Mac上启动Apache服务

3194
来自专栏北京马哥教育

Linux内核编译过程详解

前言 Linux内核是Linux操作系统的核心,也是整个Linux功能体现的核心,就如同发动机 在汽车中的重要性。内核主要功能包括进程管理、内存管理、文件管...

80410
来自专栏Web项目聚集地

MyBatis-逆向工程「Generator使用指南」

当你利用搜索引擎搜索Maven会出来很多名词:对象模型、标准集合、依赖管理系统这是啥啊?差不多得你会用了Maven才会理解这些名称吧,我找到了一个博主的博客

1612
来自专栏北京马哥教育

Python 官方推荐的一款打包工具

原文链接:https://robots.thoughtbot.com/how-to-manage-your-python-projects-with-pipen...

3715
来自专栏云计算教程系列

如何在Ubuntu上使用Webhooks和Slack部署React

Webhook,也就是人们常说的钩子,是一个很有用的工具。你可以通过定制 Webhook 来监测你在 Github.com 上的各种事件,最常见的莫过于 pus...

2342
来自专栏Script Boy (CN-SIMO)

U盘安装Kali 出现cd-rom无法挂载 已解决

用U盘安装Kali Linux的过程中,出现cd-rom无法挂载的现象,百度坑比啊,醉了。 下面亲测成功 出现无法挂载后,选择执行shell 第一步:df -m...

4440
来自专栏陈树义

如何在IntelJ下用Maven创建一个Web项目

相信一开始做Web项目的同学都是直接把项目包放在WEB-INF/lib目录下,然后就开始做项目了。但是之后接触了一些使用了Maven进行包管理的项目,我们就不得...

2756
来自专栏枕边书

Linux - 请允许我静静地后台运行

前言 常在 linux 下玩耍的开发者肯定会经常遇到需要对进程调度的情况,在 windows 中点击 最小化 去干别的就 OK 了,那么在 linux 下怎么办...

2535
来自专栏IT派

Python 官方推荐的一款打包工具

在thoughtbot,我们用Ruby和Rails工作,但通常我们总是尝试使用最合适的语言或者框架来解决问题。我最近一直在探索机器学习技术,所以Python使用...

1224

扫码关注云+社区

领取腾讯云代金券