Dreamhack - simple-ssti

 

SSTI

• https://www.igloo.co.kr/security-information/%EC%9B%B9-%ED%85%9C%ED%94%8C%EB%A6%BF-%EC%97%94%EC%A7%84-%EA%B8%B0%EB%B0%98%EC%9D%98-ssti-%EC%B7%A8%EC%95%BD%EC%A0%90-%EB%B6%84%EC%84%9D/
• 웹 어플리케이션에 적용되어 있는 웹 템플릿 엔진에 공격자의 공격 코드가 템플릿에 포함된 상태에서 서버 측에서 템플릿 인젝션이 발현되는 공격 
• 템플릿 엔진 : 템플릿 양식과 특정 데이터 모델에 따른 입력자료를 합성하여 결과 문서를 출력하는 소프트웨어 및 컴포넌트 → 브라우저에서 출력되는 웹 문서를 위한 것 

 

SSTI 취약점

• 서버 측에 템플릿이 구성되어 있고 사용자 입력 값이 기존 템플릿에 삽입되는 경우 → 공격자는 템플릿 구문을 이용해 악성 페이로드를 삽입하여 공격자가 원하는 액션을 수행한다. 
• 템플릿 엔진 별로 사용되는 템플릿 문법 유형이 다르다.

 

코드 

• app.secret_key의 값을 알아내야 한다. 
• url을 이용해서 404 에러가 나오게 하고 %s에 flag가 출력되도록 한다..? 

 

https://dokhakdubini.tistory.com/515

위 코드는 SSTI를 검증하지 않고 있다. 이용하여 플래그 값을 출력해본다.. 

{{config[%27SECRET_KEY%27]}}

%27은 '을 의미한다.