前言

有时，SSTI（服务器端模板注入）和 CSTI（客户端模板注入）可能会由于它们相似的负载语法而混淆。这种混乱可能会导致渗透测试人员浪费时间尝试实现反向 shell，即使payload仅限于客户端。

定义

𝗦𝗲𝗿𝘃𝗲𝗿-𝘀𝗶𝗱𝗲 𝘁𝗲𝗺𝗽𝗹𝗮𝘁𝗲 𝗶𝗻𝗷𝗲𝗰𝘁𝗶𝗼𝗻 指可能发生使用服务器端模板引擎的 Web 应用程序。它涉及代码注入攻击，攻击者可以在服务器端模板中注入并执行恶意代码。

𝗖𝗹𝗶𝗲𝗻𝘁 𝗦𝗶𝗱𝗲 𝗧𝗲𝗺𝗽𝗹𝗮𝘁𝗲 𝗜𝗻𝗷𝗲𝗰𝘁𝗶𝗼𝗻 是一个安全问题，攻击者的输入是注入页面并由客户端 JavaScript 库处理。

TL;DR： SSTI 允许在远程服务器上执行代码，而 CSTI 允许在受害者端【客户端】执行任意 JavaScript 代码。

一些例子

SSTI

假设一个使用服务器端模板引擎的 Web 应用程序，允许用户提交网站上显示的评论。模板引擎支持模板内的变量和表达式。

template = “Your comment is: {{ comment }}”rendered = template.render(comment=comment_input)

如果应用程序无法正确验证和清理用户输入，攻击者可以通过将恶意代码注入评论输入字段来利用此漏洞。

如果您提交 {{7*7}} 作为评论，结果将是：

Your comment is: 49

此漏洞可能会导致代码执行，如以下payload所示：

{{ user.__class__.__mro__[1].__subclasses__()[407](“cat /etc/passwd”, shell=True, stdout=-1).communicate() }}

payload尝试在服务器上执行命令 cat /etc/passwd。如果服务器环境允许执行此类命令并且模板引擎容易受到 SSTI 的影响，则 /etc/passwd 文件的内容可能会显示为payload的结果。

CSTI

假设您有一个使用 AngularJS 的 Web 应用程序。在 HTML 页面中，只要将特殊属性应用于标签，AngularJS 就会分析该标签的内容并根据需要进行更改。在带有属性的标签内，AngularJS 将 {{}} 中的任何内容视为可执行代码或变量名称。

<h1>Hello, {{name}}</h1>

此漏洞的测试遵循与 SSTI 类似的过程。解释器期望双花括号之间有可执行代码，并执行该代码。

如果输入未正确过滤，提交 {{7*7}} 将导致以下输出：

Hello, 49.

这就是可能造成混乱的地方。在尝试实现代码执行之前，请检查浏览器中的 JS 库是否未处理此变量。

例如，如果这是 CSTI，您可以继续使用 XSS payload，比如弹个窗。

{{constructor.constructor(‘alert(1)’)()}}