Ataques SSTI (Server Side Template Injection), tem como alvo, aplicativos Web que usam modelos (arquivos TPL) para tornar as páginas da Web mais dinâmicas. A injeção de modelo no servidor ocorre quando a entrada do usuário é incorporada a um modelo de maneira insegura.
Podemos testar se o alvo é vulnerável a SSTI, enviando comando no formato {{}}. Supondo que determinado sistema irá pegar o valor do parâmetro GET para inserir um template, podemos passar o seguinte payload como parâmetro:
https://site.com/{{'test'*7}}
Caso tenho a execução do mesmo, ou seja, escrever 7 vezes a palavra test, significa que o alvo está vulnerável. Então podemos fazer algo mais interessante, retornar uma lista de funções disponíveis que podemos acessar. Repare que abaixo estamos passando o índice 1, mas as vezes é preciso alterar esse número para conseguir buscar a lista de funções.
O retorno deverá ser uma lista (array) de classes separadas por espaço, então quebre-o com espaços para descobrir qual o index da classe. Depois de descobrir isso, acesse o alvo com o seguinte payload.
