在本年的黑帽大会上 James Kettle 讲解了《Server-Side Template Injection: RCE for the modern webapp》，从服务端模板注入的构成到检测，再到验证和运用都进行了具体的介绍。本文在了解原文内容的基础上，结合更为具体的示例对服务端模板注入的原理和扫描检测办法做一个浅析。
一、模板注入与常见Web注入
就注入类型的缝隙来说，常见 Web 注入有：SQL 注入，XSS 注入，XPATH 注入，XML 注入，代码注入，指令注入等等。注入缝隙的本质是服务端接受了用户的输入，未过滤或过滤不谨慎履行了拼接了用户输入的代码，因而构成了各类注入。下面这段代码足以阐明这一点：
// SQL 注入
$query = "select * from sometable where id=".$_GET['id'];
mysql_query($query);
------------- 富丽的分割线 -------------
// 模版注入
$temp->render("Hello ".$_GET['username']);
而服务端模板注入和常见Web注入的成因相同，也是服务端接收了用户的输入，将其作为 Web 运用模板内容的一部分，在进行方针编译烘托的进程中，履行了用户刺进的歹意内容，因而或许导致了灵敏信息走漏、代码履行、GetShell 等问题。其影响规模首要取决于模版引擎的复杂性。
二、模板注入原理
模板注入触及的是服务端Web运用运用模板引擎烘托用户恳求的进程，这儿咱们运用 PHP 模版引擎 Twig 作为比如来阐明模板注入发生的原理。考虑下面这段代码：
php
require_once dirname(__FILE__).'/../lib/Twig/Autoloader.php';
Twig_Autoloader::register(true);
$twig = new Twig_Environment(new Twig_Loader_String());
$output = $twig->render("Hello {{name}}", array("name" => $_GET["name"]));  // 将用户输入作为模版变量的值
echo $output;
运用 Twig 模版引擎烘托页面，其间模版含有 {{name}}  变量，其模版变量值来自于 GET 恳求参数 $_GET["name"] 。明显这段代码并没有什么问题，即便你想经过 name  参数传递一段 JavaScript 代码给服务端进行烘托，或许你会以为这儿能够进行 XSS，可是因为模版引擎一般都默许对烘托的变量值进行编码和转义，所以并不会构成跨站脚本进犯：

可是，假如烘托的模版内容遭到用户的操控，状况就不相同了。修正代码为：
php
require_once dirname(__FILE__).'/../lib/Twig/Autoloader.php';
Twig_Autoloader::register(true);
$twig = new Twig_Environment(new Twig_Loader_String());
$output = $twig->render("Hello {$_GET['name']}");  // 将用户输入作为模版内容的一部分
echo $output;
上面这段代码在构建模版时，拼接了用户输入作为模板的内容，现在假如再向服务端直接传递 JavaScript 代码，用户输入会原样输出，测验成果清楚明晰：

比照上面两种状况，简略的说服务端模板注入的构成毕竟仍是因为服务端信任了用户的输出而构成的（Web安全真理：永久不要信任用户的输入！）。当然了，第二种状况下，进犯者不只仅能刺进 JavaScript 脚本，还能针对模板结构进行进一步的进犯，此部分只阐明原理，在后面会对进犯运用进行具体阐明和演示。
三、模板注入检测
上面现已讲明晰模板注入的构成本来，现在就来谈谈对其进行检测和扫描的办法。假如服务端将用户的输入作为了模板的一部分，那么在页面烘托时也必定会将用户输入的内容进行模版编译和解析最终输出。
借用本文第二部分所用到的代码：
php
require_once dirname(__FILE__).'/../lib/Twig/Autoloader.php';
Twig_Autoloader::register(true);
$twig = new Twig_Environment(new Twig_Loader_String());
$output = $twig->render("Hello {$_GET['name']}");  // 将用户输入作为模版内容的一部分
echo $output;
在 Twig 模板引擎里，{{ var }}  除了能够输出传递的变量以外，还能履行一些根本的表达式然后将其成果作为该模板变量的值，例如这儿用户输入 name={{2*10}} ，则在服务端拼接的模版内容为：
Hello {{2*10}}
Twig 模板引擎在编译模板的进程中会核算 {{2*10}}  中的表达式 2*10 ，会将其回来值 20  作为模板变量的值输出，如下图：

现在把测验的数据改动一下，刺进一些正常字符和 Twig 模板引擎默许的注释符，结构 Payload 为：
IsVuln{# comment #}{{2*8}}OK
实践服务端要进行编译的模板就被结构为：
Hello IsVuln{# comment #}{{2*8}}OK
这儿简略剖析一下，因为 {# comment #}  作为 Twig 模板引擎的默许注释方式，所以在前端输出的时分并不会显现，而 {{2*8}}  作为模板变量最终会回来 16  作为其值进行显现，因而前端最终会回来内容 Hello IsVuln16OK ，如下图：

经过上面两个简略的示例，就能得到 SSTI 扫描检测的大致流程（这儿以 Twig 为例）：

[1] [2]  黑客接单网