* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PR al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
[**RootedCON**](https://www.rootedcon.com) es el evento de ciberseguridad más relevante en **España** y uno de los más importantes en **Europa**. Con **la misión de promover el conocimiento técnico**, este congreso es un punto de encuentro para profesionales de la tecnología y la ciberseguridad en todas las disciplinas.
La inyección de plantillas del lado del servidor ocurre cuando un atacante es capaz de utilizar la sintaxis de plantilla nativa para inyectar una carga maliciosa en una plantilla, que luego se ejecuta en el lado del servidor.
Los **motores de plantillas** están diseñados para **generar páginas web** combinando plantillas **fijas** con datos **volátiles**. Los ataques de inyección de plantillas del lado del servidor pueden ocurrir cuando la **entrada del usuario** se concatena directamente **en una plantilla**, en lugar de pasarla como datos. Esto permite a los atacantes **inyectar directivas de plantilla arbitrarias** para manipular el motor de plantillas, lo que a menudo les permite tomar **el control completo del servidor**.
Un ejemplo de código vulnerable se muestra a continuación:
```php
$output = $twig->render("Dear " . $_GET['name']);
```
En el ejemplo anterior, **parte de la plantilla** en sí misma está siendo **generada dinámicamente** usando el parámetro `GET``name`. Como la sintaxis de la plantilla se evalúa en el lado del servidor, esto potencialmente permite a un atacante colocar una carga útil de inyección de plantilla en el lado del servidor dentro del parámetro `name` de la siguiente manera:
Al igual que con cualquier vulnerabilidad, el primer paso hacia la explotación es poder encontrarla. Quizás el enfoque inicial más simple sea intentar **fuzzear la plantilla** inyectando una secuencia de caracteres especiales comúnmente utilizados en expresiones de plantilla, como el políglota **`${{<%[%'"}}%\`.**\
Para comprobar si el servidor es vulnerable, debe **detectar las diferencias** entre la respuesta con **datos regulares** en el parámetro y el **payload proporcionado**.\
Si se produce un **error**, será bastante fácil averiguar que **el servidor es vulnerable** e incluso qué **motor se está ejecutando**. Pero también podría encontrar un servidor vulnerable si esperaba que reflejara el payload dado y no lo está haciendo o si hay algunos caracteres **faltantes** en la respuesta.
**Detectar - Contexto de texto plano**
La entrada dada se está **renderizando y reflejando** en la respuesta. Esto es fácilmente **confundido con una vulnerabilidad simple** de [**XSS**](../xss-cross-site-scripting/), pero es fácil de diferenciar si intenta establecer **operaciones matemáticas** dentro de una expresión de plantilla:
```
{{7*7}}
${7*7}
<%= 7*7 %>
${{7*7}}
#{7*7}
*{7*7}
```
**Detectar - Contexto de código**
En estos casos, la **entrada del usuario** se está colocando **dentro** de una **expresión de plantilla**:
```python
engine.render("Hello {{"+greeting+"}}", data)
```
El acceso a la página puede ser similar a: `http://vulnerable-website.com/?greeting=data.username`
Si **cambias** el parámetro **`greeting`** por un **valor diferente**, la **respuesta no contendrá el nombre de usuario**, pero si accedes a algo como: `http://vulnerable-website.com/?greeting=data.username}}hello` entonces, **la respuesta contendrá el nombre de usuario** (si los caracteres de cierre de la expresión de la plantilla fueron **`}}`**).\
Si se produce un **error** durante estas pruebas, será más fácil encontrar que el servidor es vulnerable.
### Identificación
Una vez que se ha detectado el potencial de inyección de plantillas, el siguiente paso es identificar el motor de plantillas.\
Aunque hay una gran cantidad de lenguajes de plantillas, muchos de ellos utilizan una sintaxis muy similar que se elige específicamente para no chocar con los caracteres HTML.
Si tienes suerte, el servidor estará **imprimiendo los errores** y podrás encontrar el **motor** utilizado **dentro** de los errores. Algunas cargas útiles posibles que pueden causar errores son:
| `${}` | `{{}}` | `<%= %>` |
| ----------- | ------------ | --------------- |
| `${7/0}` | `{{7/0}}` | `<%= 7/0 %>` |
| `${foobar}` | `{{foobar}}` | `<%= foobar %>` |
| `${7*7}` | `{{7*7}}` | \`\` |
De lo contrario, deberás probar manualmente diferentes cargas útiles específicas del lenguaje y estudiar cómo son interpretadas por el motor de plantillas. Una forma común de hacer esto es inyectar operaciones matemáticas arbitrarias utilizando sintaxis de diferentes motores de plantillas. Luego puedes observar si se evalúan correctamente. Para ayudar en este proceso, puedes usar un árbol de decisiones similar al siguiente:
.png>)
### Explotación
**Leer**
El primer paso después de encontrar la inyección de plantillas e identificar el motor de plantillas es leer la documentación. Las áreas clave de interés son:
* Secciones 'Para autores de plantillas' que cubren la sintaxis básica.
* 'Consideraciones de seguridad' - es probable que quien desarrolló la aplicación que estás probando no haya leído esto, y puede contener algunas pistas útiles.
* Listas de métodos, funciones, filtros y variables integrados.
* Listas de extensiones/plugins - algunos pueden estar habilitados de forma predeterminada.
**Explorar**
Suponiendo que no se han presentado exploits, el siguiente paso es **explorar el entorno** para averiguar exactamente a qué **tienes acceso**. Puedes esperar encontrar tanto **objetos predeterminados** proporcionados por el motor de plantillas, como **objetos específicos de la aplicación** pasados a la plantilla por el desarrollador. Muchos sistemas de plantillas exponen un objeto 'self' o de espacio de nombres que contiene todo en el ámbito, y una forma idiomática de listar los atributos y métodos de un objeto.
Si no hay un objeto self integrado, tendrás que probar nombres de variables mediante [SecLists](https://github.com/danielmiessler/SecLists/blob/25d4ac447efb9e50b640649f1a09023e280e5c9c/Discovery/Web-Content/burp-parameter-names.txt) y la colección de listas de palabras de Burp Intruder.
Los objetos suministrados por el desarrollador son particularmente propensos a contener información sensible, y pueden variar entre diferentes plantillas dentro de una aplicación, por lo que este proceso debe aplicarse idealmente a cada plantilla individualmente.
En este punto, deberías tener una **idea firme de la superficie de ataque disponible** y ser capaz de proceder con técnicas tradicionales de auditoría de seguridad, revisando cada función en busca de vulnerabilidades explotables. Es importante abordar esto en el contexto de la aplicación más amplia - algunas funciones pueden ser utilizadas para explotar características específicas de la aplicación. Los ejemplos a seguir utilizarán la inyección de plantillas para desencadenar la creación arbitraria de objetos, la lectura/escritura arbitraria de archivos, la inclusión remota de archivos, la divulgación de información y las vulnerabilidades de escalada de privilegios.
Para obtener las variables de entorno del sistema en Java, podemos utilizar la clase `System` y su método `getenv()`. Este método devuelve un objeto `Map` que contiene todas las variables de entorno del sistema y sus valores. Podemos iterar sobre este objeto para obtener las variables de entorno individuales y sus valores.
También podemos obtener el valor de una variable de entorno específica utilizando el método `getenv(String name)` de la clase `System`. Este método toma el nombre de la variable de entorno como argumento y devuelve su valor.
Este es un ejemplo de cómo se puede obtener el archivo `/etc/passwd` en un servidor vulnerable a la inyección de plantillas del lado del servidor (SSTI) utilizando Java.
```java
import java.io.*;
import java.util.*;
public class Main {
public static void main(String[] args) throws Exception {
En este ejemplo, se utiliza la biblioteca Velocity para procesar la plantilla. La carga útil se inserta en la variable `user` y se pasa al motor de plantillas para su procesamiento. La carga útil utiliza la clase `Scanner` de Java para leer el contenido del archivo `/etc/passwd` y devolverlo como una cadena.
Este es solo un ejemplo de cómo se puede utilizar la inyección de plantillas del lado del servidor para obtener información confidencial del servidor. Es importante tener en cuenta que esta técnica solo funciona en servidores vulnerables a la inyección de plantillas del lado del servidor y no debe utilizarse para fines malintencionados.
* En la sección de FreeMarker de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
* En la sección Velocity de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
La expresión de prueba típica para SSTI es `${7*7}`. Esta expresión también funciona en Thymeleaf. Si desea lograr la ejecución remota de código, puede usar una de las siguientes expresiones de prueba:
Sin embargo, como mencionamos antes, las expresiones solo funcionan en atributos especiales de Thymeleaf. Si es necesario usar una expresión en una ubicación diferente en la plantilla, Thymeleaf admite _inlineado de expresiones_. Para usar esta función, debe colocar una expresión dentro de `[[...]]` o `[(...)]` (seleccione uno u otro según si necesita escapar símbolos especiales). Por lo tanto, una carga útil de detección SSTI simple para Thymeleaf sería `[[${7*7}]]`.
Las posibilidades de que la carga útil de detección anterior funcione son, sin embargo, muy bajas. Las vulnerabilidades de SSTI generalmente ocurren cuando una plantilla se genera dinámicamente en el código. Thymeleaf, por defecto, no permite tales plantillas generadas dinámicamente y todas las plantillas deben crearse antes. Por lo tanto, si un desarrollador quiere crear una plantilla a partir de una cadena _sobre la marcha_, necesitaría crear su propio TemplateResolver. Esto es posible pero ocurre muy raramente.
Si profundizamos en la documentación del motor de plantillas Thymeleaf, encontraremos una característica interesante llamada _**preprocesamiento de expresiones**_. Las expresiones colocadas entre doble guión bajo (`__...__`) se preprocesan y el resultado del preprocesamiento se utiliza como parte de la expresión durante el procesamiento regular. Aquí hay un ejemplo oficial de la documentación de Thymeleaf:
* [Payloads all the things](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/README.md#java---retrieve-etcpasswd)
Pebble es una aplicación de gestión de proyectos que permite a los usuarios crear, organizar y colaborar en proyectos. La última versión de Pebble incluye nuevas características y mejoras de rendimiento.
## Características nuevas
- Integración con Slack: ahora puedes conectar tus proyectos de Pebble con canales de Slack para recibir notificaciones y actualizaciones en tiempo real.
- Mejoras en la interfaz de usuario: la interfaz de usuario ha sido actualizada para mejorar la usabilidad y la accesibilidad.
- Mejoras en la velocidad: se han realizado mejoras en el rendimiento para que la aplicación sea más rápida y eficiente.
## Cómo actualizar
Los usuarios de Pebble recibirán una notificación de actualización en la aplicación. Simplemente sigue las instrucciones para actualizar a la última versión. Si no recibes la notificación, puedes buscar actualizaciones en la configuración de la aplicación.
Jinjava es un motor de plantillas Java que admite la ejecución de código Java en plantillas. Es similar a Twig y Django, pero está diseñado específicamente para Java. Jinjava se utiliza comúnmente en el marco de aplicaciones web Spring.
La inyección de plantillas del lado del servidor (SSTI) en Jinjava se produce cuando se permite que el usuario ingrese plantillas que se ejecutan en el servidor. Esto puede permitir que un atacante ejecute código malicioso en el servidor y, en última instancia, tomar el control del servidor.
Para evitar la inyección de plantillas del lado del servidor en Jinjava, se deben seguir las mejores prácticas de seguridad, como validar y sanitizar todas las entradas de usuario y limitar los permisos de ejecución en el servidor.
{{ request }} would return a request object like com.[...].context.TemplateContextRequest@23548206
```
Jinjava es un proyecto de código abierto desarrollado por Hubspot, disponible en [https://github.com/HubSpot/jinjava/](https://github.com/HubSpot/jinjava/)
**Jinjava - Ejecución de comandos**
Solucionado por [https://github.com/HubSpot/jinjava/pull/230](https://github.com/HubSpot/jinjava/pull/230)
{% set ji='a'.getClass().forName('com.hubspot.jinjava.Jinjava').newInstance().newInterpreter() %}
{% endraw %}
{{ji.render('{{1*2}}')}}
//Here, I created a variable 'ji' with new instance of com.hubspot.jinjava.Jinjava class and obtained reference to the newInterpreter method. In the next block, I called the render method on 'ji' with expression {{1*2}}.
EL proporciona un mecanismo importante para permitir que la capa de presentación (páginas web) se comunique con la lógica de la aplicación (beans administrados). EL es utilizado por **varias tecnologías JavaEE**, como la tecnología JavaServer Faces, la tecnología JavaServer Pages (JSP) y la Inyección de Dependencias y Contextos para Java EE (CDI).\
Consulte la siguiente página para obtener más información sobre la **explotación de los intérpretes EL**:
Este bypass del Administrador de Seguridad fue tomado de este [**informe**](https://security.humanativaspa.it/groovy-template-engine-exploitation-notes-from-a-real-case-scenario/).
[**RootedCON**](https://www.rootedcon.com/) es el evento de ciberseguridad más relevante en **España** y uno de los más importantes en **Europa**. Con **la misión de promover el conocimiento técnico**, este congreso es un punto de encuentro candente para los profesionales de la tecnología y la ciberseguridad en todas las disciplinas.
* En la sección Smarty de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
* En la sección Twig y Twig (Sandboxed) de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
La inyección de plantillas del lado del servidor (SSTI) es una vulnerabilidad que permite a un atacante ejecutar código en el servidor al explotar una aplicación web que utiliza plantillas para generar contenido dinámico.
Las aplicaciones web a menudo utilizan plantillas para generar contenido dinámico. Estas plantillas contienen código que se ejecuta en el servidor para generar el contenido que se muestra al usuario. Si un atacante puede controlar el contenido de una plantilla, puede inyectar código malicioso que se ejecutará en el servidor.
Un ejemplo común de SSTI es cuando una aplicación web utiliza la plantilla de Jinja2 para generar contenido dinámico. Si la aplicación no está configurada correctamente, un atacante puede inyectar código malicioso en la plantilla y hacer que se ejecute en el servidor.
Para prevenir la inyección de plantillas del lado del servidor, es importante asegurarse de que las aplicaciones web estén configuradas correctamente y de que se utilicen las últimas versiones de las bibliotecas de plantillas. También es importante validar y escapar cualquier entrada de usuario que se utilice en las plantillas para evitar la inyección de código malicioso.
Este archivo es una página web que muestra información sobre los autores de un blog. La información se muestra utilizando plantillas del lado del servidor.
Este archivo es vulnerable a la inyección de plantillas del lado del servidor (SSTI). Un atacante puede enviar una carga útil maliciosa a través de la URL que puede ser interpretada por el servidor como una plantilla y ejecutada. Esto puede permitir al atacante leer archivos del sistema, ejecutar comandos en el servidor y obtener acceso a información confidencial.
Para evitar la inyección de plantillas del lado del servidor, se debe validar y sanitizar cualquier entrada del usuario que se utilice en las plantillas. También se puede utilizar una biblioteca de plantillas que tenga una función de escape incorporada para evitar la ejecución de código malicioso.
Jade es un motor de plantillas para NodeJS que permite a los desarrolladores crear vistas HTML de manera más fácil y rápida. Jade utiliza una sintaxis simplificada y elegante que permite a los desarrolladores escribir menos código y crear vistas más limpias y legibles. Sin embargo, esta simplicidad también puede ser una vulnerabilidad, ya que los atacantes pueden aprovechar las vulnerabilidades de inyección de plantillas del lado del servidor (SSTI) para ejecutar código malicioso en el servidor.
* En la sección Jade de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
> [patTemplate](https://github.com/wernerwa/pat-template) es un motor de plantillas PHP que no compila y que utiliza etiquetas XML para dividir un documento en diferentes partes.
> Jinja2 es un motor de plantillas completo para Python. Tiene soporte completo de Unicode, un entorno de ejecución en sandbox opcional integrado, ampliamente utilizado y con licencia BSD.
Jinja2 es un motor de plantillas para Python. Es utilizado por Flask y otros frameworks web de Python para renderizar plantillas HTML. Las plantillas de Jinja2 se componen de bloques, variables y expresiones. Los bloques son secciones de la plantilla que pueden ser sobrescritas por plantillas que heredan de ellas. Las variables son valores que son pasados a la plantilla para ser renderizados. Las expresiones son evaluadas y renderizadas en la plantilla.
Mako es un motor de plantillas de Python que también es vulnerable a la inyección de plantillas del lado del servidor (SSTI). Al igual que con Jinja, la inyección de plantillas Mako se produce cuando se permite que el usuario proporcione una entrada que se procesa como una plantilla. Para obtener más información sobre cómo abusar de Mako, consulte la siguiente referencia:
El método `System.Diagnostics.Process.Start` de .NET se puede utilizar para iniciar cualquier proceso en el servidor y, por lo tanto, crear un webshell. Puede encontrar un ejemplo de aplicación web vulnerable en [https://github.com/cnotin/RazorVulnerableApp](https://github.com/cnotin/RazorVulnerableApp)
* Si los datos pasados son un objeto que contiene el atributo Password, por ejemplo, la carga anterior lo filtraría, pero también podrías hacer: `{{ .Password }}`
*`{{printf "%s" "ssti" }}` = debería mostrar la cadena ssti en la respuesta
*`{{html "ssti"}}`, `{{js "ssti"}}` = Estas son algunas otras cargas útiles que deberían mostrar la cadena "ssti" sin las palabras finales "js" o "html". Puedes consultar más palabras clave en el motor [aquí](https://golang.org/pkg/text/template).
Si el servidor está **usando el paquete text/template**, es muy fácil lograr XSS simplemente proporcionando tu **carga útil** como entrada. Sin embargo, ese no es el caso con html/template ya que codifica en HTML la respuesta: `{{"<script>alert(1)</script>"}}` --> `<script>alert(1)</script>`
La documentación para ambos módulos html/template se puede encontrar [aquí](https://golang.org/pkg/html/template/), y la documentación para el módulo text/template se puede encontrar [aquí](https://golang.org/pkg/text/template/), y sí, varían mucho. Por ejemplo, en **text/template**, puedes **llamar directamente cualquier función pública con el valor "call"**, sin embargo, este no es el caso con html/template.
Si quieres encontrar una RCE en go a través de SSTI, debes saber que como puedes acceder al objeto dado a la plantilla con `{{ . }}`, también puedes **llamar a los métodos de los objetos**. Entonces, imagina que el **objeto pasado tiene un método llamado System** que ejecuta el comando dado, podrías abusar de él con: `{{ .System "ls" }}`\
Por lo tanto, probablemente **necesitarás el código fuente**. Un código fuente potencial para algo así se verá como:
Revisa el resto de [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection) para más exploits. También puedes encontrar información interesante en las etiquetas de [https://github.com/DiogoMRSilva/websitesVulnerableToSSTI](https://github.com/DiogoMRSilva/websitesVulnerableToSSTI)
[**RootedCON**](https://www.rootedcon.com/) es el evento de ciberseguridad más relevante en **España** y uno de los más importantes en **Europa**. Con **la misión de promover el conocimiento técnico**, este congreso es un punto de encuentro para los profesionales de la tecnología y la ciberseguridad en todas las disciplinas.
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Revisa los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos.
* Consigue el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
