# Server Side Inclusion/Edge Side Inclusion Injection {% hint style="success" %} Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\ Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks * Check the [**subscription plans**](https://github.com/sponsors/carlospolop)! * **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks_live)**.** * **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %} ## Server Side Inclusion Basic Information **(Introdução retirada da** [**documentação do Apache**](https://httpd.apache.org/docs/current/howto/ssi.html)**)** SSI (Server Side Includes) são diretivas que são **colocadas em páginas HTML e avaliadas no servidor** enquanto as páginas estão sendo servidas. Elas permitem que você **adicione conteúdo gerado dinamicamente** a uma página HTML existente, sem precisar servir a página inteira via um programa CGI ou outra tecnologia dinâmica.\ Por exemplo, você pode colocar uma diretiva em uma página HTML existente, como: `` E, quando a página é servida, esse fragmento será avaliado e substituído pelo seu valor: `Tuesday, 15-Jan-2013 19:28:54 EST` A decisão de quando usar SSI e quando ter sua página totalmente gerada por algum programa geralmente é uma questão de quão estática é a página e quanto precisa ser recalculado toda vez que a página é servida. SSI é uma ótima maneira de adicionar pequenas peças de informação, como a hora atual - mostrada acima. Mas se a maior parte da sua página está sendo gerada no momento em que é servida, você precisa procurar alguma outra solução. Você pode inferir a presença de SSI se a aplicação web usar arquivos com a extensão **`.shtml`, `.shtm` ou `.stm`**, mas não é apenas esse o caso. Uma expressão SSI típica tem o seguinte formato: ``` ``` ### Verificar ```javascript // Document name // Date // File inclusion // Including files (same directory) // CGI Program results // Including virtual files (same directory) // Modification date of a file // Command exec // Command exec // Reverse shell // Print all variables // Setting variables ``` ## Edge Side Inclusion Há um problema **com o cache de informações ou aplicações dinâmicas**, pois parte do conteúdo pode ter **variado** na próxima vez que o conteúdo for recuperado. É para isso que o **ESI** é usado, para indicar usando tags ESI o **conteúdo dinâmico que precisa ser gerado** antes de enviar a versão em cache.\ Se um **atacante** conseguir **injetar uma tag ESI** dentro do conteúdo em cache, então, ele poderá **injetar conteúdo arbitrário** no documento antes que seja enviado aos usuários. ### Detecção de ESI O seguinte **cabeçalho** em uma resposta do servidor significa que o servidor está usando ESI: ``` Surrogate-Control: content="ESI/1.0" ``` Se você não conseguir encontrar este cabeçalho, o servidor **pode estar usando ESI de qualquer maneira**.\ Uma **abordagem de exploração cega também pode ser usada** já que uma solicitação deve chegar ao servidor dos atacantes: ```javascript // Basic detection hello // If previous is reflected as "hello", it's vulnerable // Blind detection // XSS Exploitation Example // Cookie Stealer (bypass httpOnly flag) // Introduce private local files (Not LFI per se) // Valid for Akamai, sends debug information in the response ``` ### Exploração de ESI [GoSecure criou](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/) uma tabela para entender possíveis ataques que podemos tentar contra diferentes softwares compatíveis com ESI, dependendo da funcionalidade suportada: * **Includes**: Suporta a diretiva `` * **Vars**: Suporta a diretiva ``. Útil para contornar Filtros XSS * **Cookie**: Cookies do documento são acessíveis ao mecanismo ESI * **Cabeçalhos Upstream Necessários**: Aplicações de substituição não processarão declarações ESI a menos que a aplicação upstream forneça os cabeçalhos * **Lista de Permissão de Hosts**: Neste caso, inclusões ESI só são possíveis a partir de hosts de servidor permitidos, tornando SSRF, por exemplo, apenas possível contra esses hosts | **Software** | **Includes** | **Vars** | **Cookies** | **Cabeçalhos Upstream Necessários** | **Lista de Permissão de Hosts** | | :--------------------------: | :----------: | :------: | :---------: | :-------------------------------: | :-----------------------------: | | Squid3 | Sim | Sim | Sim | Sim | Não | | Varnish Cache | Sim | Não | Não | Sim | Sim | | Fastly | Sim | Não | Não | Não | Sim | | Akamai ESI Test Server (ETS) | Sim | Sim | Sim | Não | Não | | NodeJS esi | Sim | Sim | Sim | Não | Não | | NodeJS nodesi | Sim | Não | Não | Não | Opcional | #### XSS A seguinte diretiva ESI carregará um arquivo arbitrário dentro da resposta do servidor ```xml ``` #### Bypass client XSS protection ```xml x=>alert(/Chrome%20XSS%20filter%20bypass/);> Use to bypass WAFs: ipt>alert(1)ript> error=alert(1)> ``` #### Roubar Cookie * Roubo remoto de cookie ```xml ``` * Roubar cookie HTTP\_ONLY com XSS refletindo-o na resposta: {% code overflow="wrap" %} ```bash # This will reflect the cookies in the response # Reflect XSS (you can put '">' URL encoded and the URL encode eveyrhitng to send it in the HTTP request) # It's possible to put more complex JS code to steal cookies or perform actions ``` {% endcode %} #### Arquivo Local Privado Não confunda isso com uma "Inclusão de Arquivo Local": ```markup ``` #### CRLF ```markup ``` #### Open Redirect O seguinte adicionará um cabeçalho `Location` à resposta ```bash ``` #### Adicionar Cabeçalho * Adicionar cabeçalho na solicitação forçada ```xml ``` * Adicione cabeçalho na resposta (útil para contornar "Content-Type: text/json" em uma resposta com XSS) {% code overflow="wrap" %} ```bash # Check the number of url_decode to know how many times you can URL encode the value ``` {% endcode %} #### CRLF no cabeçalho Add (**CVE-2019-2438**) ```xml ``` #### Akamai debug Isso enviará informações de depuração incluídas na resposta: ```xml ``` ### ESI + XSLT = XXE É possível usar a sintaxe de **`eXtensible Stylesheet Language Transformations (XSLT)`** em ESI apenas indicando o valor do parâmetro **`dca`** como **`xslt`**. O que pode permitir abusar do **XSLT** para criar e explorar uma vulnerabilidade de Entidade Externa XML (XXE): ```xml ``` Arquivo XSLT: ```xml ]> &xxe; ``` Verifique a página XSLT: {% content-ref url="xslt-server-side-injection-extensible-stylesheet-language-transformations.md" %} [xslt-server-side-injection-extensible-stylesheet-language-transformations.md](xslt-server-side-injection-extensible-stylesheet-language-transformations.md) {% endcontent-ref %} ### Referências * [https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/) * [https://www.gosecure.net/blog/2019/05/02/esi-injection-part-2-abusing-specific-implementations/](https://www.gosecure.net/blog/2019/05/02/esi-injection-part-2-abusing-specific-implementations/) * [https://infosecwriteups.com/exploring-the-world-of-esi-injection-b86234e66f91](https://infosecwriteups.com/exploring-the-world-of-esi-injection-b86234e66f91) ## Lista de Detecção de Força Bruta {% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssi_esi.txt" %} {% hint style="success" %} Aprenda e pratique Hacking AWS:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\ Aprenda e pratique Hacking GCP: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Suporte ao HackTricks * Verifique os [**planos de assinatura**](https://github.com/sponsors/carlospolop)! * **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks_live)**.** * **Compartilhe truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
{% endhint %}