SSTI服务器模板注入终极指南：从发现到利用的10个关键技巧

【免费下载链接】HowToHunt Collection of methodology and test case for various web vulnerabilities. 项目地址: https://gitcode.com/gh_mirrors/ho/HowToHunt

SSTI（服务器模板注入）是Web应用程序中常见的安全漏洞，攻击者通过注入恶意模板代码来执行任意命令或获取敏感信息。本指南将带你掌握从发现到利用SSTI漏洞的10个关键技巧，帮助你在渗透测试和漏洞挖掘中快速识别并利用这类高危漏洞。

一、什么是SSTI？快速了解服务器模板注入

服务器模板注入（SSTI）是指攻击者能够在Web应用程序的模板引擎中注入恶意代码，从而执行任意命令或访问敏感数据。模板引擎通常用于动态生成HTML页面，当应用程序将用户输入直接嵌入模板而未进行适当过滤时，就可能导致SSTI漏洞。

常见的易受SSTI攻击的模板引擎包括：

• Jinja2（Python）
• Freemarker（Java）
• Smarty（PHP）
• Twig（PHP）
• Handlebars（JavaScript）

图：Web渗透测试方法论思维导图，展示了SSTI在常见漏洞分类中的位置

二、SSTI漏洞的危害：为什么你需要重视？

SSTI漏洞如果被成功利用，可能导致以下严重后果：

• 服务器端命令执行
• 敏感数据泄露（如数据库凭证、配置文件）
• 网站权限接管
• 内网横向移动
• 完全控制系统

在漏洞奖励计划中，SSTI漏洞通常被评为高危或严重级别，奖金金额从数千到数万美元不等。

三、发现SSTI漏洞的5个实用技巧

1. 输入点识别：寻找用户可控的模板变量

常见的模板注入点包括：

• URL参数（如?name=user）
• 表单提交数据
• HTTP头部（如User-Agent、Referer）
• JSON/XML请求体

2. 基础检测：使用特殊字符测试

向疑似模板注入点提交以下 payload，观察响应变化：

• {{7*7}} 或 {{7+7}}（数学运算）
• {{'test'}}（字符串操作）
• {{1+1}} 或 {{2-1}}（基础表达式）

如果响应中出现计算结果（如49、14、test、2、1），则可能存在SSTI漏洞。

3. 模板引擎识别：确定具体引擎类型

不同模板引擎有不同的语法特征，可通过以下 payload 识别：

• Jinja2：{{config}} 或 {{settings}}
• Freemarker：${7*7} 或 #{7*7}
• Smarty：{php}echo 7*7;{/php}
• Twig：{{7*7}} 或 {{app.request.server.all|join(',')}}

4. 高级探测：利用错误信息泄露

故意提交畸形语法（如{{或}}），观察是否返回模板引擎错误信息，例如：

• Jinja2 可能返回 "TemplateSyntaxError"
• Freemarker 可能返回 "Invalid reference"

5. 自动化工具辅助：提高检测效率

推荐使用专业SSTI检测工具：

• tplmap：自动化检测和利用SSTI漏洞的工具

四、SSTI漏洞利用的5个关键步骤

1. 信息收集：枚举模板引擎特性

确定模板引擎后，收集其特性和可用对象：

• Jinja2：{{dir()}} 或 {{().__class__.__bases__[0].__subclasses__()}}
• Freemarker：<#assign ex=ex?api> 或 <#list .getClass().forName("java.lang.Runtime").getMethods() as method>${method.name}</#list>

2. 绕过过滤：常见防御机制突破

面对WAF或输入过滤时，可尝试：

• 字符编码（如URL编码、HTML实体编码）
• 拼接字符串（如{{'syst'+'em'}}）
• 使用替代语法（如{* 7*7 *}替代{{7*7}}）

3. 命令执行：获取服务器控制权

成功注入后，执行系统命令：

• Jinja2：{{os.popen('id').read()}}
• Freemarker：<#assign ex=ex?api><@ex.exec("id")>
• Smarty：{system('id')}

4. 文件操作：读取敏感文件

利用模板引擎读取服务器文件：

• Jinja2：{{open('/etc/passwd').read()}}
• Freemarker：<#assign file=file('etc/passwd')>${file.read()}

5. 权限提升：从Web用户到系统管理员

通过SSTI漏洞进一步提升权限：

• 检查sudo权限
• 寻找SUID文件
• 利用内核漏洞提权

图：渗透测试与漏洞赏金思维导图，展示了SSTI在整个测试流程中的位置

五、SSTI漏洞防御最佳实践

1. 输入验证与过滤

• 对所有用户输入进行严格验证
• 使用白名单限制允许的输入类型
• 避免将用户输入直接嵌入模板

2. 模板引擎安全配置

• 更新至最新版本的模板引擎
• 禁用危险功能（如Jinja2的autoescape）
• 使用沙箱环境运行模板

3. 安全编码实践

• 使用模板引擎提供的安全API
• 避免在模板中使用eval、exec等危险函数
• 实施最小权限原则

4. 定期安全审计

• 对代码进行静态分析
• 进行定期渗透测试
• 监控异常模板渲染行为

六、总结：成为SSTI漏洞专家的下一步

掌握SSTI漏洞的发现与利用需要不断实践和学习。建议通过以下资源深入学习：

• SSTI详细文档
• Web渗透测试 checklist：Web-Application-Pentesting-checklist.md

记住，漏洞挖掘不仅是技术，更是一种思维方式。保持好奇心，不断尝试新的测试方法，你将在SSTI漏洞挖掘领域取得突破！

要开始你的SSTI漏洞挖掘之旅，可以克隆项目仓库进行实践：

git clone https://gitcode.com/gh_mirrors/ho/HowToHunt

祝你在漏洞挖掘的道路上取得成功！🚀

【免费下载链接】HowToHunt Collection of methodology and test case for various web vulnerabilities. 项目地址: https://gitcode.com/gh_mirrors/ho/HowToHunt