服务器端模板注入漏洞简介

译者 | 刘涛

审校 | 重楼

服务器端模板注入（SSTI）漏洞是网络应用安全中不太为人所知的一种漏洞类型。尽管这些漏洞很少见，但一旦被发现，其影响往往非常严重，通常会导致远程代码执行（RCE）。

本文旨在揭示这些问题是如何产生的，并找出它们在现实环境中经常出现的地方。

什么是服务器端模板（Server-Side Templates）

现代网络严重依赖于大量的用户信息、产品细节和各种其他类型的数据。为了以有意义的方式呈现这些信息，就需要在网页上对它们进行有效的组织，这样用户才能快速找到最重要的信息；这也是用户从精选的搞笑图片页面中获得快乐的方式。

模板语言和框架引入了特殊的语法和结构，使开发人员能够创建包含静态内容的模板，同时提供的语法和结构允许动态内容在不需要混合后端和前端代码的情况下呈现。

安全问题从何而来？

如果攻击者可以发送请求，从而使服务器的模板引擎把用户的输入当作模板来处理，那么就会产生安全问题。一个好的安全评估在寻找这类漏洞时，需要专注考虑以下几个方面：

管理员功能 - 允许管理员定制页面，横幅，或者应用程序中的其他可视元素，有时还会提供模版作为一项特色。一些开发人员甚至可能选择允许访问模板语言，从而打开这个漏洞。

未经过滤的输入 - 任何可能返回给用户或显示在另一页上的输入都可能导致SSTI，具体取决于网站的功能。既然理解了模板语言的用例，那么请戴上您的开发帽，思考您会在哪些地方使用模板。

测试SSTI漏洞

如果怀疑应用程序存在SSTI漏洞，那么在应用程序中可以使用一些模板语言。测试越有针对性，效果越好。如果能够通过侦测确定应用程序的开发语言（如Python/Java/PHP等），则可以为目标语言中常用的模板框架创建测试有效载荷。

SSTI Polyglot Payload

SSTI Polyglot有效载荷旨在跨多个框架和语言测试SSTI漏洞。在源代码未知的情况下，它可以辅助测试。但由于此特定有效载荷很常见，且包含大量特殊字符(如${{<%[%'"}}%），所以它更可能被输入过滤（ input sanitization）拦截或被防火墙（WAFs）阻断。

可以考虑在请求中使用有效载荷，以在目标应用程序上触发某种错误消息。

GET/search?query=${{<%[%'"}}%\.
Python - Jinja2（Python的一组模板引擎）

一个简单的用于测试应用程序是否正在处理Jinja模板的有效载荷是{{7*7}}，如果应用程序正在处理该模板，则页面上将显示49。

为了进一步提升这个有效载荷，您可以尝试使用下面的示例来使用Python的OS包执行date命令。

{{self.__init__.__globals__.__builtins__.__import__('os').popen('date').read()}}

在使用上述示例时，您正在使用Jinja来执行OS功能，从而执行OS命令，而这些应该包含在应用程序的类路径中。如果应用程序的运行环境特别严格，但您有一个可行的SSTI POC（证明服务器端模板注入漏洞存在漏洞利用代码），您可以考虑深入研究应用程序使用的任何其他Python包。例如，您尝试通过SSTI访问常用的requests包以进行进一步地利用。这类似于您可能在反序列化漏洞中看到的应用开发方式。

Jinja 过滤器旁路

您也应该知道，对于Jinja2 应用防火墙和应用程序过滤器存在绕过方法。过滤器和相关的绕过方法总是在变化，但是下面是您可能会看到的常见过滤器。

防火墙可能会拦self.__init__.__globals__.__builtins__.的某些部分。如果是这种情况，使用attr()可能会有所帮助，因为它可以直接访问builtins(内置函数）对象。

{{ request|attr('builtins')|import('os')|popen('date')|read}}

深入研究过滤器绕过方法，您可以让Python帮助转换有效载荷！例如，使用format()可以在处理模板引擎时转换有效载荷。当某些组合. or_被阻止时，这将有所帮助。

{{ request|format('%s%sbuiltins%s%s')|import('os')|popen('date')|read}}

Java模板注入

Java有更多的模板框架需要应对，可能好坏参半。基于Spring的Web应用程序非常常见，Baeldung有一个很棒的列表，网址如下：https://www.baeldung.com/spring-template-engines

ThymeLeaf（Java服务器端模板引擎）注入

这是 Java中常见的一种模板引擎类型，其利用 SSTI漏洞的方法已广为人知。做个简单的测试，看看是否存在模板注入漏洞，可以再次使用${7*7}这个方法，如果您在响应中看到49而不是模板，那就意味着存在问题。

这种RCE有效载荷（一种远程代码执行的有效载荷）有两种变体，Spring Expression Language (SpringEL) 和 Object Graph Navigation Language (OGNL)。SpringEL比较流行，也比较现代化，但是您可能会发现 OGNL模板仍然被使用。这里是我们的示例，再次执行date命令。

SpringEL ${T(java.lang.Runtime).getRuntime().exec(‘date’)}
OGNL ${#rt = @java.lang.Runtime@getRuntime(),#rt.exec(‘date’)}

结束语

尽管本文只是一个简单的介绍，但希望您能了解这些漏洞是如何被利用以及它们是如何产生的。这并没有涵盖所有可能的SSTI有效载荷和框架，但我建议您深入研究。

延伸阅读

https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server Side Template Injection/README.md

https://portswigger.net/web-security/server-side-template-injection

译者介绍

刘涛，51CTO社区编辑，某大型央企系统上线检测管控负责人。

原文标题：An Introduction to Server Side Template Injection Bugs，作者：David Neal