# Inclusión del Lado del Servidor/Inclusión del Lado del Borde
Aprende hacking en AWS desde cero hasta experto con htARTE (HackTricks AWS Red Team Expert)! Otras formas de apoyar a HackTricks: * Si deseas ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)! * Obtén [**artículos oficiales de PEASS & HackTricks**](https://peass.creator-spring.com) * Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family) * **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.** * **Comparte tus trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositorios de github.
## Información Básica sobre la Inclusión del Lado del Servidor **(Introducción tomada de [la documentación de Apache](https://httpd.apache.org/docs/current/howto/ssi.html))** SSI (Server Side Includes) son directivas que se **colocan en páginas HTML y se evalúan en el servidor** mientras las páginas se están sirviendo. Te permiten **agregar contenido generado dinámicamente** a una página HTML existente, sin tener que servir toda la página a través de un programa CGI u otra tecnología dinámica.\ Por ejemplo, podrías colocar una directiva en una página HTML existente, como: `` Y, cuando se sirva la página, este fragmento será evaluado y reemplazado con su valor: `Martes, 15-Ene-2013 19:28:54 EST` La decisión de cuándo usar SSI, y cuándo tener tu página generada completamente por algún programa, suele ser una cuestión de cuánto de la página es estático y cuánto necesita ser recalculado cada vez que se sirve la página. SSI es una excelente manera de agregar pequeños fragmentos de información, como la hora actual - mostrada arriba. Pero si la mayoría de tu página se está generando en el momento en que se sirve, necesitas buscar alguna otra solución. Puedes inferir la presencia de SSI si la aplicación web utiliza archivos con las extensiones \*\* `.shtml`, `.shtm` o `.stm`\*\*, pero no es el único caso. Una expresión SSI típica tiene el siguiente formato: ``` ``` ### Verificación ```javascript // Document name // Date // File inclusion // Including files (same directory) // CGI Program results // Including virtual files (same directory) // Modification date of a file // Command exec // Command exec // Reverse shell // Print all variables // Setting variables ``` ## Inclusión en el Borde Existe un problema al **almacenar en caché información o aplicaciones dinámicas** ya que parte del contenido puede haber **variado** para la próxima vez que se recupere el contenido. Para esto se utiliza **ESI**, para indicar mediante etiquetas ESI el **contenido dinámico que debe generarse** antes de enviar la versión en caché.\ si un **atacante** es capaz de **inyectar una etiqueta ESI** dentro del contenido en caché, entonces, podría ser capaz de **inyectar contenido arbitrario** en el documento antes de que se envíe a los usuarios. ### Detección de ESI El siguiente **encabezado** en una respuesta del servidor significa que el servidor está utilizando ESI: ``` Surrogate-Control: content="ESI/1.0" ``` Si no puedes encontrar este encabezado, el servidor **podría estar utilizando ESI de todos modos**.\ También se puede utilizar un enfoque de **explotación a ciegas** ya que una solicitud debería llegar al servidor del atacante: ```javascript // Basic detection hello // If previous is reflected as "hello", it's vulnerable // Blind detection // XSS Exploitation Example // Cookie Stealer (bypass httpOnly flag) // Introduce private local files (Not LFI per se) // Valid for Akamai, sends debug information in the response ``` ### Explotación de ESI [GoSecure creó](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/) una tabla para entender los posibles ataques que podemos intentar contra diferentes software capaces de ESI, dependiendo de la funcionalidad admitida: * **Includes**: Admite la directiva `` * **Vars**: Admite la directiva ``. Útil para evadir los filtros XSS * **Cookie**: Las cookies del documento son accesibles para el motor ESI * **Se Requieren Encabezados de Origen**: Las aplicaciones sustitutas no procesarán las declaraciones ESI a menos que la aplicación de origen proporcione los encabezados * **Lista Blanca de Hosts**: En este caso, las inclusiones de ESI solo son posibles desde los hosts de servidor permitidos, lo que hace que, por ejemplo, SSRF solo sea posible contra esos hosts | **Software** | **Includes** | **Vars** | **Cookies** | **Se Requieren Encabezados de Origen** | **Lista Blanca de Hosts** | | :--------------------------: | :----------: | :------: | :---------: | :-------------------------------------: | :------------------------: | | Squid3 | Sí | Sí | Sí | Sí | No | | Varnish Cache | Sí | No | No | Sí | Sí | | Fastly | Sí | No | No | No | Sí | | Akamai ESI Test Server (ETS) | Sí | Sí | Sí | No | No | | NodeJS esi | Sí | Sí | Sí | No | No | | NodeJS nodesi | Sí | No | No | No | Opcional | #### XSS La siguiente directiva ESI cargará un archivo arbitrario dentro de la respuesta del servidor ```xml ``` #### Saltar la protección XSS del cliente ```xml x=>alert(/Chrome%20XSS%20filter%20bypass/);> Use to bypass WAFs: ipt>alert(1)ript> error=alert(1)> ``` #### Robar Cookie * Robo remoto de cookie ```xml ``` * Robar la cookie HTTP\_ONLY con XSS al reflejarla en la respuesta: ```bash # This will reflect the cookies in the response # Reflect XSS (you can put '">' URL encoded and the URL encode eveyrhitng to send it in the HTTP request) # It's possible to put more complex JS code to steal cookies or perform actions ``` #### Archivo local privado No confundir con una "Inclusión de archivo local": ```markup ``` #### CRLF ```markup ``` #### Redirección Abierta Lo siguiente agregará un encabezado `Location` a la respuesta ```bash ``` #### Agregar Encabezado * Agregar encabezado en solicitud forzada ```xml ``` * Agregar encabezado en la respuesta (útil para evadir "Content-Type: text/json" en una respuesta con XSS) ```bash # Check the number of url_decode to know how many times you can URL encode the value ``` #### CRLF en Agregar encabezado (**CVE-2019-2438)** ```xml ``` #### Depuración de Akamai Esto enviará información de depuración incluida en la respuesta: ```xml ``` ### ESI + XSLT = XXE Al especificar el valor `xslt` para el parámetro _dca_, es factible incluir ESI basado en **`Transformaciones de Lenguaje de Hoja de Estilo Extensible (XSLT)`**. La inclusión hace que el servidor HTTP recupere los archivos XML y XSLT, siendo este último el que filtra el primero. Estos archivos XML son explotables para ataques de _Entidades Externas XML (XXE)_, lo que permite a los atacantes ejecutar ataques SSRF. Sin embargo, la utilidad de este enfoque es limitada ya que las inclusiones de ESI ya sirven como un vector SSRF. Debido a la falta de soporte en la biblioteca subyacente Xalan, los DTD externos no se procesan, lo que evita la extracción de archivos locales. ```xml ``` Archivo XSLT: ```xml ]> &xxe; ``` Revisa la página XSLT: {% content-ref url="xslt-server-side-injection-extensible-stylesheet-language-transformations.md" %} [xslt-server-side-injection-extensible-stylesheet-language-transformations.md](xslt-server-side-injection-extensible-stylesheet-language-transformations.md) {% endcontent-ref %} ### Referencias * [https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/) * [https://www.gosecure.net/blog/2019/05/02/esi-injection-part-2-abusing-specific-implementations/](https://www.gosecure.net/blog/2019/05/02/esi-injection-part-2-abusing-specific-implementations/) * [https://academy.hackthebox.com/module/145/section/1304](https://academy.hackthebox.com/module/145/section/1304) * [https://infosecwriteups.com/exploring-the-world-of-esi-injection-b86234e66f91](https://infosecwriteups.com/exploring-the-world-of-esi-injection-b86234e66f91) ## Lista de Detección de Fuerza Bruta {% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssi_esi.txt" %}
Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)! Otras formas de apoyar a HackTricks: * Si deseas ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)! * Obtén el [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com) * Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family) * **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.** * **Comparte tus trucos de hacking enviando PRs a los repositorios de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).