* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
[**RootedCON**](https://www.rootedcon.com) est l'événement de cybersécurité le plus pertinent en **Espagne** et l'un des plus importants en **Europe**. Avec **pour mission de promouvoir les connaissances techniques**, ce congrès est un point de rencontre bouillonnant pour les professionnels de la technologie et de la cybersécurité dans chaque discipline.
Une injection de modèle côté serveur se produit lorsqu'un attaquant est capable d'utiliser la syntaxe de modèle native pour injecter une charge utile malveillante dans un modèle, qui est ensuite exécuté côté serveur.
Les **moteurs de modèle** sont conçus pour **générer des pages web** en **combinant** des modèles **fixes** avec des données **volatiles**. Les attaques d'injection de modèle côté serveur peuvent se produire lorsque l'**entrée utilisateur** est concaténée directement **dans un modèle**, plutôt que transmise en tant que données. Cela permet aux attaquants d'**injecter des directives de modèle arbitraires** afin de manipuler le moteur de modèle, leur permettant souvent de prendre **le contrôle complet du serveur**.
Dans l'exemple précédent, **une partie du modèle** est elle-même **générée dynamiquement** en utilisant le paramètre `GET``name`. Comme la syntaxe du modèle est évaluée côté serveur, cela permet potentiellement à un attaquant de placer une charge utile d'injection de modèle côté serveur dans le paramètre `name` comme suit:
Comme pour toute vulnérabilité, la première étape vers l'exploitation est de pouvoir la trouver. Peut-être la méthode la plus simple consiste à essayer de **fuzzer le modèle** en injectant une séquence de caractères spéciaux couramment utilisés dans les expressions de modèle, tels que le polyglotte **`${{<%[%'"}}%\`.**\
Afin de vérifier si le serveur est vulnérable, vous devez **repérer les différences** entre la réponse avec des **données régulières** sur le paramètre et la **charge utile donnée**.\
Si une **erreur est renvoyée**, il sera assez facile de déterminer que **le serveur est vulnérable** et même quel **moteur est en cours d'exécution**. Mais vous pouvez également trouver un serveur vulnérable si vous vous y **attendiez** à ce qu'il **reflète** la charge utile donnée et qu'il ne le fait **pas** ou s'il y a des **caractères manquants** dans la réponse.
L'entrée donnée est **rendue et reflétée** dans la réponse. Cela peut facilement être **confondu avec une vulnérabilité** [**XSS**](../xss-cross-site-scripting/) simple, mais il est facile de différencier si vous essayez de définir des **opérations mathématiques** dans une expression de modèle :
Si vous **modifiez** le paramètre **`greeting`** pour une **valeur différente**, la **réponse ne contiendra pas le nom d'utilisateur**, mais si vous accédez à quelque chose comme : `http://vulnerable-website.com/?greeting=data.username}}hello`, alors **la réponse contiendra le nom d'utilisateur** (si les caractères d'expression de modèle de fermeture étaient **`}}`**).\
Une fois que vous avez détecté le potentiel d'injection de modèle, la prochaine étape consiste à identifier le moteur de modèle.\
Bien qu'il existe un grand nombre de langages de modélisation, beaucoup d'entre eux utilisent une syntaxe très similaire qui est spécifiquement choisie pour ne pas entrer en conflit avec les caractères HTML.
Si vous avez de la chance, le serveur **imprimera les erreurs** et vous pourrez trouver le **moteur** utilisé **à l'intérieur** des erreurs. Certains payloads possibles qui peuvent causer des erreurs :
Sinon, vous devrez **tester manuellement différents payloads spécifiques à la langue** et étudier comment ils sont interprétés par le moteur de modèle. Une façon courante de faire cela est d'injecter des opérations mathématiques arbitraires en utilisant la syntaxe de différents moteurs de modèle. Vous pouvez ensuite observer s'ils sont évalués avec succès. Pour vous aider dans ce processus, vous pouvez utiliser un arbre de décision similaire à celui-ci :
La première étape après avoir trouvé l'injection de modèle et identifié le moteur de modèle consiste à lire la documentation. Les domaines clés d'intérêt sont :
* 'Considérations de sécurité' - il est probable que quiconque a développé l'application que vous testez n'a pas lu cela, et cela peut contenir des indices utiles.
* Listes de méthodes, fonctions, filtres et variables intégrées.
* Listes d'extensions/plugins - certaines peuvent être activées par défaut.
En supposant qu'aucune exploitation ne se soit présentée, la prochaine étape consiste à **explorer l'environnement** pour savoir exactement à quoi **vous avez accès**. Vous pouvez vous attendre à trouver à la fois des **objets par défaut** fournis par le moteur de modèle, et des **objets spécifiques à l'application** transmis au modèle par le développeur. De nombreux systèmes de modèles exposent un objet 'self' ou un espace de noms contenant tout ce qui est en portée, et une façon idiomatique de lister les attributs et méthodes d'un objet.
S'il n'y a pas d'objet self intégré, vous devrez forcer les noms de variables en utilisant [SecLists](https://github.com/danielmiessler/SecLists/blob/25d4ac447efb9e50b640649f1a09023e280e5c9c/Discovery/Web-Content/burp-parameter-names.txt) et la collection de listes de mots de passe de Burp Intruder.
Les objets fournis par le développeur sont particulièrement susceptibles de contenir des informations sensibles, et peuvent varier entre différents modèles au sein d'une application, de sorte que ce processus devrait idéalement être appliqué à chaque modèle distinct individuellement.
À ce stade, vous devriez avoir une **idée ferme de la surface d'attaque disponible** et être en mesure de procéder avec les techniques d'audit de sécurité traditionnelles, en examinant chaque fonction pour des vulnérabilités exploitables. Il est important d'aborder cela dans le contexte de l'application plus large - certaines fonctions peuvent être utilisées pour exploiter des fonctionnalités spécifiques à l'application. Les exemples à suivre utiliseront l'injection de modèle pour déclencher la création arbitraire d'objets, la lecture/écriture de fichiers arbitraires, l'inclusion de fichiers distants, la divulgation d'informations et les vulnérabilités d'escalade de privilèges.
La récupération des variables d'environnement du système peut être utile lors de l'analyse d'une application. Les variables d'environnement peuvent contenir des informations sensibles telles que des clés d'API, des noms d'utilisateur et des mots de passe. Pour récupérer les variables d'environnement du système en Java, vous pouvez utiliser la classe `System` et la méthode `getenv()`. Voici un exemple de code qui récupère toutes les variables d'environnement du système et les affiche :
Ce code récupère toutes les variables d'environnement du système et les stocke dans une `Map`. Ensuite, il parcourt la `Map` et affiche chaque variable d'environnement avec sa valeur correspondante.
Dans certaines situations, il est possible d'exploiter une injection de modèle côté serveur (SSTI) pour récupérer le fichier `/etc/passwd` sur le serveur cible. Cela peut être accompli en utilisant la syntaxe de modèle spécifique au langage pour exécuter des commandes système.
Cette syntaxe crée un objet `Scanner` qui lit le contenu de la sortie de la commande `cat /etc/passwd` à partir d'un flux d'entrée. Le contenu est ensuite retourné en tant que chaîne de caractères.
Il est important de noter que cette technique ne fonctionnera que si l'application utilise une injection de modèle côté serveur et que le serveur cible exécute une version de Java qui prend en charge la syntaxe de modèle utilisée.
* Dans la section FreeMarker de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
* Dans la section Velocity de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
L'expression de test typique pour SSTI est `${7*7}`. Cette expression fonctionne également dans Thymeleaf. Si vous voulez réaliser une exécution de code à distance, vous pouvez utiliser l'une des expressions de test suivantes :
Cependant, comme nous l'avons mentionné précédemment, les expressions ne fonctionnent que dans des attributs Thymeleaf spéciaux. S'il est nécessaire d'utiliser une expression à un autre endroit dans le modèle, Thymeleaf prend en charge l'_insertion d'expression_. Pour utiliser cette fonctionnalité, vous devez mettre une expression entre `[[...]]` ou `[(...)]` (choisissez l'un ou l'autre en fonction de la nécessité d'échapper les symboles spéciaux). Par conséquent, une charge utile de détection SSTI simple pour Thymeleaf serait `[[${7*7}]]`.
Cependant, les chances que la charge utile de détection ci-dessus fonctionne sont très faibles. Les vulnérabilités SSTI se produisent généralement lorsqu'un modèle est généré dynamiquement dans le code. Thymeleaf, par défaut, n'autorise pas de modèles générés dynamiquement et tous les modèles doivent être créés au préalable. Par conséquent, si un développeur veut créer un modèle à partir d'une chaîne _à la volée_, il devra créer son propre résolveur de modèle. C'est possible mais cela arrive très rarement.
Si nous examinons de plus près la documentation du moteur de modèle Thymeleaf, nous trouverons une fonctionnalité intéressante appelée _**prétraitement d'expression**_. Les expressions placées entre deux tirets bas (`__...__`) sont prétraitées et le résultat du prétraitement est utilisé comme partie de l'expression pendant le traitement régulier. Voici un exemple officiel de la documentation de Thymeleaf :
* [Payloads all the things](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/README.md#java---retrieve-etcpasswd)
Pebble est une application de gestion de projet qui permet aux utilisateurs de suivre les tâches, les échéances et les projets en cours. La dernière version de Pebble comprend des améliorations de performance et des corrections de bugs pour une expérience utilisateur plus fluide.
## Nouvelles fonctionnalités
- Amélioration de la vitesse de chargement des pages
- Correction de bugs mineurs
- Amélioration de l'interface utilisateur
## Comment mettre à jour
Les utilisateurs peuvent mettre à jour leur version de Pebble en se rendant sur le site web de l'application et en téléchargeant la dernière version. Les utilisateurs de Workspace peuvent également mettre à jour l'application via le Workspace App Marketplace.
Jinjava est un moteur de template Java qui permet l'injection de code côté serveur (SSTI). Il est utilisé par plusieurs frameworks Java tels que JHipster, Spring Boot et Play Framework.
Pour exploiter une vulnérabilité SSTI avec Jinjava, vous devez trouver un point d'injection dans l'application Web. Cela peut être un champ de formulaire, un paramètre d'URL ou un cookie. Une fois que vous avez identifié le point d'injection, vous pouvez utiliser la syntaxe Jinjava pour injecter du code malveillant.
Cette syntaxe affichera le résultat de l'opération 7 * 7 sur la page Web. Cependant, vous pouvez également utiliser cette syntaxe pour exécuter du code malveillant, comme l'extraction de données sensibles ou l'exécution de commandes système.
Pour éviter les vulnérabilités SSTI avec Jinjava, vous devez valider toutes les entrées utilisateur et échapper les caractères spéciaux. Vous pouvez également désactiver l'évaluation des expressions Jinjava dans les modèles de votre application.
//Here, I created a variable 'ji' with new instance of com.hubspot.jinjava.Jinjava class and obtained reference to the newInterpreter method. In the next block, I called the render method on 'ji' with expression {{1*2}}.
EL fournit un mécanisme important pour permettre à la couche de présentation (pages web) de communiquer avec la logique de l'application (beans gérés). EL est utilisé par **plusieurs technologies JavaEE**, telles que la technologie JavaServer Faces, la technologie JavaServer Pages (JSP) et l'injection de contextes et de dépendances pour Java EE (CDI).\
Consultez la page suivante pour en savoir plus sur l'**exploitation des interpréteurs EL** :
Cette méthode de contournement du gestionnaire de sécurité a été prise à partir de ce [**writeup**](https://security.humanativaspa.it/groovy-template-engine-exploitation-notes-from-a-real-case-scenario/).
[**RootedCON**](https://www.rootedcon.com/) est l'événement de cybersécurité le plus pertinent en **Espagne** et l'un des plus importants en **Europe**. Avec **pour mission de promouvoir les connaissances techniques**, ce congrès est un point de rencontre bouillonnant pour les professionnels de la technologie et de la cybersécurité dans toutes les disciplines.
* Dans la section Smarty de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
Twig est un moteur de template flexible et rapide écrit en PHP. Il est largement utilisé dans les applications Symfony et est également disponible en tant que composant autonome. Twig utilise une syntaxe simple et facile à comprendre pour les modèles, ce qui le rend facile à utiliser pour les développeurs de tous niveaux. Les modèles Twig sont généralement stockés dans des fichiers avec l'extension `.twig`. Les variables sont représentées par des doubles accolades (`{{}}`) et les instructions sont représentées par des accolades et un pourcentage (`{% %}`). Les commentaires sont représentés par des accolades et un dièse (`{# #}`). Twig prend également en charge l'héritage de modèles, ce qui permet aux développeurs de créer des modèles de base qui peuvent être étendus par d'autres modèles.
* Dans la section Twig et Twig (Sandboxed) de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
L'injection de modèle côté serveur (SSTI) est une vulnérabilité qui permet à un attaquant d'injecter du code dans un modèle côté serveur. Cette vulnérabilité est souvent trouvée dans les applications Web qui utilisent des moteurs de modèle tels que **Jinja2**, **Twig**, **FreeMarker**, etc.
Lorsqu'une application Web utilise un moteur de modèle, elle utilise souvent des variables pour remplir les modèles avec des données dynamiques. Cependant, si ces variables ne sont pas correctement validées, un attaquant peut injecter du code malveillant dans le modèle.
Dans cet exemple, l'application Web utilise le moteur de modèle **Jinja2** pour remplir le modèle avec la variable `name`. Cependant, si un attaquant fournit une entrée malveillante pour la variable `name`, il peut injecter du code malveillant dans le modèle.
Pour exploiter une SSTI, un attaquant doit trouver une entrée qui est utilisée pour remplir un modèle côté serveur sans être correctement validée. Les entrées courantes qui peuvent être utilisées pour exploiter une SSTI sont:
Une fois qu'un attaquant a trouvé une entrée vulnérable, il peut injecter du code malveillant dans le modèle en utilisant la syntaxe spécifique au moteur de modèle. Par exemple, pour **Jinja2**, l'attaquant peut utiliser la syntaxe `{{ code }}` pour injecter du code malveillant.
Pour prévenir une SSTI, il est important de valider correctement toutes les entrées qui sont utilisées pour remplir un modèle côté serveur. Les bonnes pratiques pour prévenir une SSTI sont:
- Utiliser des bibliothèques de modèle qui ont des mécanismes de sécurité intégrés, tels que **Django** ou **Flask**.
- Éviter d'utiliser des entrées utilisateur pour remplir des modèles côté serveur.
- Si vous devez utiliser des entrées utilisateur pour remplir des modèles côté serveur, assurez-vous de valider correctement ces entrées en utilisant des bibliothèques de validation telles que **WTForms**.
- Éviter d'utiliser des moteurs de modèle qui permettent l'exécution de code, tels que **Jinja2** ou **Twig**.
- Si vous devez utiliser des moteurs de modèle qui permettent l'exécution de code, assurez-vous de limiter les fonctionnalités de ces moteurs en utilisant des options de configuration telles que `autoescape` ou `sandbox`.
La page `authors.php` est vulnérable à une injection de template côté serveur (SSTI). L'entrée utilisateur n'est pas correctement validée avant d'être passée au moteur de template Twig. Cela permet à un attaquant d'exécuter du code arbitraire sur le serveur.
Pour corriger cette vulnérabilité, il est recommandé de valider et de filtrer toutes les entrées utilisateur avant de les passer au moteur de template. Twig fournit des fonctions de filtrage pour éviter les injections de template. Par exemple, la fonction `escape` peut être utilisée pour échapper les caractères spéciaux dans les chaînes de caractères.
Jade est un moteur de template pour Node.js et est maintenant connu sous le nom de Pug. Il est utilisé pour générer des pages HTML dynamiques en utilisant des données fournies par l'application. Les injections de modèles côté serveur peuvent être effectuées en utilisant des variables non échappées dans les fichiers de modèle Jade. Les variables non échappées sont définies en utilisant le signe "=" suivi de la variable. Par exemple, `= user.name` affichera le nom de l'utilisateur sans échapper les caractères spéciaux. Les attaquants peuvent exploiter cette vulnérabilité en injectant du code malveillant dans les variables non échappées, ce qui peut entraîner une exécution de code à distance ou une divulgation d'informations sensibles.
* Dans la section Jade de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
> [patTemplate](https://github.com/wernerwa/pat-template) est un moteur de template PHP non-compilant, qui utilise des balises XML pour diviser un document en différentes parties.
> Jinja2 est un moteur de template complet pour Python. Il prend en charge l'unicode complet, un environnement d'exécution sandboxé intégré en option, largement utilisé et sous licence BSD.
Jinja2 est un moteur de modèle pour Python. Il est utilisé pour générer des documents HTML, XML ou tout autre format de texte. Les modèles Jinja2 sont des fichiers texte qui contiennent des balises et des variables. Les balises sont utilisées pour contrôler la logique du modèle, tandis que les variables sont utilisées pour afficher des données dynamiques.
Les balises Jinja2 sont entourées de crochets `{% %}`. Les variables Jinja2 sont entourées de doubles crochets `{{ }}`. Les commentaires Jinja2 sont entourés de crochets `{# #}`.
La méthode `System.Diagnostics.Process.Start` de .NET peut être utilisée pour démarrer n'importe quel processus sur le serveur et ainsi créer un shell web. Vous pouvez trouver un exemple d'application web vulnérable sur [https://github.com/cnotin/RazorVulnerableApp](https://github.com/cnotin/RazorVulnerableApp)
*`{{ . }}` = structure de données transmise en entrée au template
* Si les données transmises sont un objet qui contient l'attribut Password par exemple, la charge utile précédente le divulguerait, mais vous pourriez également faire : `{{ .Password }}`
*`{{printf "%s" "ssti" }}` = devrait afficher la chaîne ssti dans la réponse
*`{{html "ssti"}}`, `{{js "ssti"}}` = Ce sont quelques autres charges utiles qui devraient afficher la chaîne "ssti" sans les mots de fin "js" ou "html". Vous pouvez vous référer à plus de mots-clés dans le moteur [ici](https://golang.org/pkg/text/template).
Si le serveur utilise le package **text/template**, il est très facile de réaliser une XSS en fournissant simplement votre charge utile en entrée. Cependant, ce n'est pas le cas avec **html/template** car il encode la réponse en HTML : `{{"<script>alert(1)</script>"}}` --> `<script>alert(1)</script>`
La documentation pour les modules html/template et text/template peut être trouvée [ici](https://golang.org/pkg/html/template/) et [ici](https://golang.org/pkg/text/template/), et oui, ils varient beaucoup. Par exemple, dans **text/template**, vous pouvez **appeler directement n'importe quelle fonction publique avec la valeur "call"**, ce qui n'est pas le cas avec html/template.
Si vous voulez trouver une RCE en go via SSTI, vous devez savoir que comme vous pouvez accéder à l'objet donné au template avec `{{ . }}`, vous pouvez également **appeler les méthodes des objets**. Ainsi, imaginez que l'**objet transmis a une méthode appelée System** qui exécute la commande donnée, vous pourriez l'abuser avec : `{{ .System "ls" }}`\
Consultez le reste de [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection) pour plus d'exploits. Vous pouvez également trouver des informations intéressantes sur les balises dans [https://github.com/DiogoMRSilva/websitesVulnerableToSSTI](https://github.com/DiogoMRSilva/websitesVulnerableToSSTI)
[**RootedCON**](https://www.rootedcon.com/) est l'événement de cybersécurité le plus pertinent en **Espagne** et l'un des plus importants en **Europe**. Avec **pour mission de promouvoir les connaissances techniques**, ce congrès est un point de rencontre bouillonnant pour les professionnels de la technologie et de la cybersécurité dans toutes les disciplines.
* Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)!
* Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFT**](https://opensea.io/collection/the-peass-family)
* Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Partagez vos astuces de piratage en soumettant des PR au** [**repo hacktricks**](https://github.com/carlospolop/hacktricks) **et au** [**repo hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).