在本年的黑帽大会上 James Kettle 讲解了《Server-Side Template Injection: RCE for the modern webapp》,从服务端模板注入的构成到检测,再到验证和运用都进行了具体的介绍。本文在了解原文内容的基础上,结合更为具体的示例对服务端模板注入的原理和扫描检测办法做一个浅析。
一、模板注入与常见Web注入
就注入类型的缝隙来说,常见 Web 注入有:SQL 注入,XSS 注入,XPATH 注入,XML 注入,代码注入,指令注入等等。注入缝隙的本质是服务端接受了用户的输入,未过滤或过滤不谨慎履行了拼接了用户输入的代码,因而构成了各类注入。下面这段代码足以阐明这一点:
// SQL 注入
$query = "select * from sometable where id=".$_GET['id'];
mysql_query($query);
------------- 富丽的分割线 -------------
// 模版注入
$temp->render("Hello ".$_GET['username']);
而服务端模板注入和常见Web注入的成因相同,也是服务端接收了用户的输入,将其作为 Web 运用模板内容的一部分,在进行方针编译烘托的进程中,履行了用户刺进的歹意内容,因而或许导致了灵敏信息走漏、代码履行、GetShell 等问题。其影响规模首要取决于模版引擎的复杂性。
二、模板注入原理
模板注入触及的是服务端Web运用运用模板引擎烘托用户恳求的进程,这儿咱们运用 PHP 模版引擎 Twig 作为比如来阐明模板注入发生的原理。考虑下面这段代码:
php
require_once dirname(__FILE__).'/../lib/Twig/Autoloader.php';
Twig_Autoloader::register(true);
$twig = new Twig_Environment(new Twig_Loader_String());
$output = $twig->render("Hello {{name}}", array("name" => $_GET["name"])); // 将用户输入作为模版变量的值
echo $output;
运用 Twig 模版引擎烘托页面,其间模版含有 {{name}} 变量,其模版变量值来自于 GET 恳求参数 $_GET["name"] 。明显这段代码并没有什么问题,即便你想经过 name 参数传递一段 JavaScript 代码给服务端进行烘托,或许你会以为这儿能够进行 XSS,可是因为模版引擎一般都默许对烘托的变量值进行编码和转义,所以并不会构成跨站脚本进犯:
可是,假如烘托的模版内容遭到用户的操控,状况就不相同了。修正代码为:
php
require_once dirname(__FILE__).'/../lib/Twig/Autoloader.php';
Twig_Autoloader::register(true);
$twig = new Twig_Environment(new Twig_Loader_String());
$output = $twig->render("Hello {$_GET['name']}"); // 将用户输入作为模版内容的一部分
echo $output;
上面这段代码在构建模版时,拼接了用户输入作为模板的内容,现在假如再向服务端直接传递 JavaScript 代码,用户输入会原样输出,测验成果清楚明晰:
比照上面两种状况,简略的说服务端模板注入的构成毕竟仍是因为服务端信任了用户的输出而构成的(Web安全真理:永久不要信任用户的输入!)。当然了,第二种状况下,进犯者不只仅能刺进 JavaScript 脚本,还能针对模板结构进行进一步的进犯,此部分只阐明原理,在后面会对进犯运用进行具体阐明和演示。
三、模板注入检测
上面现已讲明晰模板注入的构成本来,现在就来谈谈对其进行检测和扫描的办法。假如服务端将用户的输入作为了模板的一部分,那么在页面烘托时也必定会将用户输入的内容进行模版编译和解析最终输出。
借用本文第二部分所用到的代码:
php
require_once dirname(__FILE__).'/../lib/Twig/Autoloader.php';
Twig_Autoloader::register(true);
$twig = new Twig_Environment(new Twig_Loader_String());
$output = $twig->render("Hello {$_GET['name']}"); // 将用户输入作为模版内容的一部分
echo $output;
在 Twig 模板引擎里,{{ var }} 除了能够输出传递的变量以外,还能履行一些根本的表达式然后将其成果作为该模板变量的值,例如这儿用户输入 name={{2*10}} ,则在服务端拼接的模版内容为:
Hello {{2*10}}
Twig 模板引擎在编译模板的进程中会核算 {{2*10}} 中的表达式 2*10 ,会将其回来值 20 作为模板变量的值输出,如下图:
现在把测验的数据改动一下,刺进一些正常字符和 Twig 模板引擎默许的注释符,结构 Payload 为:
IsVuln{# comment #}{{2*8}}OK
实践服务端要进行编译的模板就被结构为:
Hello IsVuln{# comment #}{{2*8}}OK
这儿简略剖析一下,因为 {# comment #} 作为 Twig 模板引擎的默许注释方式,所以在前端输出的时分并不会显现,而 {{2*8}} 作为模板变量最终会回来 16 作为其值进行显现,因而前端最终会回来内容 Hello IsVuln16OK ,如下图:
经过上面两个简略的示例,就能得到 SSTI 扫描检测的大致流程(这儿以 Twig 为例):
[1] [2] 黑客接单网
11、Upfile_Article.asp bbs/upfile.asp220.170.79.195是A岛服务器,那么接下来搜集管理员的信息。 http://trend.acfun.tv文件办理:检查...
下载好burp api文件之后,有几个java文件,咱们在同一目新建一个BurpExtender.java,让其完成IBurpExtender, IScannerCheck。...
一个礼拜从前,维基解密遇到了一次侵略进犯,引起许多访问者看到了“OurMine”的声明,他们声称从前取得了维基解密就事器的控制权。这次进击今后,许多人(包括维基解密的粉丝及其死对头)在没有基础知识与技...
· 研究人员发现伪装成盛行文娱产品(如西班牙篮球界的Campeones、《酒囊饭袋》电视剧)的Torrent文件进行传达的加密钱银挖矿歹意软件DarkGate,该歹意软件能够绕过大多数反病毒软件的检测...
三.实践 -m与-p调配运用上传类型不正确可能是约束了上传类型 所以这就看你怎样getshell了 过狗思路给你了。 0x020200 电磁波和GFSK制式的底子原理 定论--...
进一步进犯方式首要是将恶意代码假装为图片、文档等发送给特定方针,别的是制造虚伪游戏渠道网站,网站供给假装游戏渠道(game456等)安装包的恶意代码。 http://ios.acfun...