FortiPy

L'injection de templates côté serveur (SSTI) est une vulnérabilité web critique qui survient lorsque l'entrée utilisateur est intégrée directement dans la syntaxe du moteur de templates côté serveur. Les moteurs de templates comme Jinja2 (utilisé dans Flask et Django), Twig (PHP) et Freemarker (Java) fournissent des fonctionnalités puissantes incluant l'évaluation de variables et l'exécution de code. Lorsqu'une application incorpore des entrées non fiables dans les templates sans sanitisation appropriée, les attaquants peuvent injecter des expressions de template qui exécutent du code arbitraire sur le serveur.

SSTI dans les applications Flask et Jinja2

Flask, un framework web Python populaire, utilise le moteur de templates Jinja2 par défaut. Les vulnérabilités SSTI dans les applications Flask surviennent lorsque l'entrée utilisateur est rendue directement comme partie d'une chaîne de template plutôt que d'être passée comme variable. Par exemple, utiliser render_template_string("Hello " + user_input) au lieu de render_template_string("Hello {{name}}", name=user_input) permet l'injection de template. Les attaquants peuvent injecter des expressions Jinja2 comme {{config.items()}} pour divulguer les données de configuration ou utiliser la hiérarchie d'objets Python pour obtenir l'exécution de code à distance via des payloads qui accèdent à os.popen() ou aux modules subprocess.

Évaluation d'applications web multi-étapes

Les tests d'intrusion réels impliquent souvent la combinaison de multiples techniques pour progresser à travers les défenses d'une application. La reconnaissance initiale peut révéler un service SSH nécessitant des attaques par force brute pour découvrir des identifiants valides. L'énumération de bases de données peut exposer des comptes supplémentaires avec des mots de passe hashés nécessitant un cassage. Chaque étape fournit des informations ou un accès nécessaire pour la suivante, créant une chaîne d'attaque qui démontre comment des vulnérabilités apparemment isolées se composent en risque critique lorsqu'elles sont enchaînées.

Cassage de hash et récupération d'identifiants

Les hashes de mots de passe découverts lors de l'énumération de bases de données ou de l'analyse du système de fichiers doivent être cassés pour progresser. Des outils comme Hashcat et John the Ripper supportent de nombreux formats de hash et modes d'attaque incluant les attaques par dictionnaire, les mutations basées sur des règles et la force brute. Comprendre l'identification des hash, sélectionner les listes de mots appropriées et optimiser les paramètres de cassage sont des compétences essentielles pour les testeurs d'intrusion. Les identifiants récupérés fournissent souvent l'accès à des services supplémentaires ou à des comptes à privilèges plus élevés, permettant l'escalade de privilèges pour la compromission complète du système.