SSTI漏洞学习 (上)——基础知识和一些不常见的模板引擎介绍

最新推荐文章于 2025-02-10 23:42:38 发布

原创

最新推荐文章于 2025-02-10 23:42:38 发布 · 605 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#web #安全漏洞 #网络安全 #安全 #编程语言

本文深入剖析SSTI（服务器端模板注入）的工作原理及其在MVC架构中的常见表现形式，介绍了Twig、ERB及Golang等模板引擎中的SSTI漏洞利用技巧，并提供了检测工具Tplmap的使用指南。

SSTI 简介

MVC

MVC是一种框架型模式，全名是Model View Controller。

即模型(model)－视图(view)－控制器(controller)
在MVC的指导下开发中用一种业务逻辑、数据、界面显示分离的方法组织代码，将业务逻辑聚集到一个部件里面，在改进和个性化定制界面及用户交互的同时，得到更好的开发和维护效率。

在MVC框架中，用户的输入通过 View 接收，交给 Controller ，然后由 Controller 调用 Model 或者其他的 Controller 进行处理，最后再返回给 View ，这样就最终显示在我们的面前了，那么这里的 View 中就会大量地用到一种叫做模板的技术。

绕过服务端接收了用户的恶意输入以后，未经任何处理就将其作为 Web 应用模板内容的一部分，而模板引擎在进行目标编译渲染的过程中，执行了用户插入的可以破坏模板的语句，就会导致敏感信息泄露、代码执行、GetShell 等问题.

虽然市面上关于SSTI的题大都出在python上，但是这种攻击方式请不要认为只存在于 Python 中，凡是使用模板的地方都可能会出现 SSTI 的问题，SSTI 不属于任何一种语言。

常见的模板引擎和注入漏洞

Twig(PHP)

首先以Twig模板引擎介绍SSTI，很多时候，SSTI发生在直接将用户输入作为模板，比如下面的代码

<?php
require_once "./vendor/autoload.php";

$loader = new \Twig\Loader\ArrayLoader([
    'index' => 'Hello {
  
  { name }}!',
]);
$twig = new \Twig\Environment($loader);


$template = $twig->createTemplate("Hello {$_GET['name']}!");

echo $template->render();

createTemplate时注入了$_GET['name']，就会引发SSTI

而如下代码则不会，因为模板引擎解析的是字符串常量中的{ {name}}，而不是动态拼接的$_GET["name"]

<?php
require_once "./vendor/autoload.php";

$loader = new \Twig\Loader\ArrayLoader([
    'index' => 'Hello {
  
  { name }}!',
]);
$twig = new \Twig\Environment($loader);

echo $twig->render('index', array("name" => $_GET["name"]));

而对于模板引擎的利用，往往是借助