SSTI模板注入到 RCE

0x00 前言

Bagisto版本：1.5.1

0x01 内容概览

看到页面功能，可以创建和自定义电子商务页面。

正如你在下图中看到的，有可能在页面上放置一段 HTML 代码，看着它，我立即想起了 XSS 漏洞。

0x02 漏洞

我继续分析功能，然后当插入 {{7*7}} 时，作为响应，数字 49 可见。已确认服务器端模板注入 (SSTI)。

SSTI是一个漏洞，允许注入模板内容（例如payload），并在服务器中执行。

为了进行测试，我们读取 /etc/passwd 文件，如下图所示

在预览时，我可以看到文件passwd内容。

需要注意的是，通过此漏洞，攻击者可以在应用程序的服务器上执行命令，从而允许访问其上的文件，例如具有数据库凭据、API 凭据等的文件。

如果它托管在云提供商处，攻击者可能会尝试读取实例的元数据，从而将影响扩大到简单的 CMS 管理员用户攻击之外。