## Inyección de Inclusión de Servidor/Inclusión de Borde de Servidor
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PR al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
## Información Básica de Inclusión de Servidor
Los SSI (Server Side Includes) son directivas que se **colocan en páginas HTML y se evalúan en el servidor** mientras se sirven las páginas. Permiten **agregar contenido generado dinámicamente** a una página HTML existente, sin tener que servir toda la página a través de un programa CGI u otra tecnología dinámica.\
Por ejemplo, se puede colocar una directiva en una página HTML existente, como:
``
Y, cuando se sirve la página, este fragmento se evaluará y se reemplazará por su valor:
`Martes, 15-Ene-2013 19:28:54 EST`
La decisión de cuándo usar SSI y cuándo tener su página generada completamente por algún programa es generalmente una cuestión de cuánto de la página es estática y cuánto necesita ser recalculado cada vez que se sirve la página. SSI es una excelente manera de agregar pequeñas piezas de información, como la hora actual, que se muestra arriba. Pero si la mayoría de su página se está generando en el momento en que se sirve, debe buscar otra solución. (Definición tomada de [aquí](https://httpd.apache.org/docs/current/howto/ssi.html)).
Se puede inferir la presencia de SSI si la aplicación web utiliza archivos con las extensiones \*\* `.shtml`, `.shtm` o `.stm`\*\*, pero no es el único caso.
Una expresión SSI típica tiene el siguiente formato:
```
```
### Verificación
```javascript
// Document name
// Date
// File inclusion
// Including files (same directory)
// CGI Program results
// Including virtual files (same directory)
// Modification date of a file
// Command exec
// Command exec
// Reverse shell
// Print all variables
// Setting variables
```
## Inclusión en el Lado del Borde
Existe un problema al **almacenar en caché información o aplicaciones dinámicas** ya que parte del contenido puede haber **variado** para la próxima vez que se recupere el contenido. Para esto se utiliza **ESI**, para indicar mediante etiquetas ESI el **contenido dinámico que debe generarse** antes de enviar la versión en caché.\
Si un **atacante** es capaz de **inyectar una etiqueta ESI** dentro del contenido en caché, entonces podría ser capaz de **inyectar contenido arbitrario** en el documento antes de que se envíe a los usuarios.
### Detección de ESI
El siguiente **encabezado** en una respuesta del servidor significa que el servidor está utilizando ESI:
```
Surrogate-Control: content="ESI/1.0"
```
Si no puedes encontrar esta cabecera, el servidor **podría estar usando ESI de todos modos**.\
También se puede utilizar un enfoque de explotación ciega ya que una solicitud debería llegar al servidor del atacante:
```javascript
// Basic detection
hello
// If previous is reflected as "hello", it's vulnerable
// Blind detection
// XSS Exploitation Example
// Cookie Stealer (bypass httpOnly flag)
// Introduce private local files (Not LFI per se)
// Valid for Akamai, sends debug information in the response
```
### Explotación de ESI
[GoSecure](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/) ha creado una tabla para ayudarnos a entender los posibles ataques que podemos intentar contra diferentes software capaces de ESI, dependiendo de la funcionalidad admitida. Primero, proporcionemos algunas explicaciones sobre los nombres de columna de la tabla a continuación:
* **Includes**: Admite la directiva ``
* **Vars**: Admite la directiva ``. Útil para eludir los filtros XSS
* **Cookie**: Las cookies del documento son accesibles para el motor ESI
* **Upstream Headers Required**: Las aplicaciones de intermediario no procesarán las declaraciones ESI a menos que la aplicación de origen proporcione las cabeceras
* **Host Allowlist**: En este caso, las inclusiones ESI solo son posibles desde los servidores de host permitidos, lo que hace que, por ejemplo, SSRF solo sea posible contra esos hosts
| **Software** | **Includes** | **Vars** | **Cookies** | **Upstream Headers Required** | **Host Whitelist** |
| :--------------------------: | :----------: | :------: | :---------: | :---------------------------: | :----------------: |
| Squid3 | Sí | Sí | Sí | Sí | No |
| Varnish Cache | Sí | No | No | Sí | Sí |
| Fastly | Sí | No | No | No | Sí |
| Akamai ESI Test Server (ETS) | Sí | Sí | Sí | No | No |
| NodeJS esi | Sí | Sí | Sí | No | No |
| NodeJS nodesi | Sí | No | No | No | Opcional |
#### XSS
La siguiente directiva ESI cargará un archivo arbitrario dentro de la respuesta del servidor.
```markup
```
El archivo _http://atacante.com/xss.html_ puede contener una carga útil XSS como ``
#### Saltar la protección XSS del cliente
```markup
x=>alert(/Chrome%20XSS%20filter%20bypass/);>
Use to bypass WAFs:
ipt>alert(1)ript>
error=alert(1)>
```
#### Robo de Cookie
* Robo remoto de cookie
```markup
```
* Robar la cookie HTTP\_ONLY con XSS reflejándola en la respuesta:
```bash
# This will reflect the cookies in the response
# Reflect XSS
```
* Toma completa de la cuenta reflejando cookies
#### Archivo local privado
No confundir con una "Inclusión de archivo local":
```markup
```
#### CRLF
CRLF significa Carriage Return Line Feed. Es un término que se refiere a la secuencia de caracteres que se utilizan para representar el final de una línea de texto en un archivo. En algunos casos, los atacantes pueden aprovechar las vulnerabilidades de CRLF para inyectar código malicioso en una aplicación web.
```markup
```
#### Redirección Abierta
Lo siguiente agregará una cabecera `Location` a la respuesta.
```bash
```
#### Agregar Encabezado
* Agregar encabezado en solicitud forzada
```html
```
* Agregar encabezado en la respuesta (útil para evitar "Content-Type: text/json" en una respuesta con XSS)
```bash
```
#### CRLF en Agregar cabecera (**CVE-2019-2438)**
```markup
```
#### Depuración de Akamai
Esto enviará información de depuración incluida en la respuesta:
```markup
```
### ESI + XSLT = XXE
También es posible agregar ESI basado en **Transformaciones de Lenguaje de Hojas de Estilo Extensible (XSLT)** mediante la especificación del valor `xslt` al parámetro _dca_. La siguiente inclusión hará que el servidor HTTP solicite el archivo XML y XSLT. El archivo XSLT se utiliza para filtrar el archivo XML. Este archivo XML se puede utilizar para realizar ataques de _Entidades Externas XML (XXE)_. Esto permite a los atacantes realizar ataques SSRF, lo cual no es muy útil ya que esto debe realizarse a través de inclusiones ESI, que es un vector SSRF en sí mismo. Las DTD externas no se analizan ya que la biblioteca subyacente (Xalan) no tiene soporte para ello. Esto significa que no podemos extraer archivos locales.
```markup
```
El archivo XSLT:
```markup
]>
&xxe;
```
Revisa la página XSLT:
{% content-ref url="xslt-server-side-injection-extensible-stylesheet-languaje-transformations.md" %}
[xslt-server-side-injection-extensible-stylesheet-languaje-transformations.md](xslt-server-side-injection-extensible-stylesheet-languaje-transformations.md)
{% endcontent-ref %}
### Referencias
* [https://www.gosecure.net/blog/2018/04/03/mas-alla-del-xss-inyeccion-de-inclusion-en-el-lado-del-servidor/](https://www.gosecure.net/blog/2018/04/03/mas-alla-del-xss-inyeccion-de-inclusion-en-el-lado-del-servidor/)
* [https://www.gosecure.net/blog/2019/05/02/inyeccion-de-esi-parte-2-abuso-de-implementaciones-especificas/](https://www.gosecure.net/blog/2019/05/02/inyeccion-de-esi-parte-2-abuso-de-implementaciones-especificas/)
* [https://academy.hackthebox.com/module/145/section/1304](https://academy.hackthebox.com/module/145/section/1304)
* [https://infosecwriteups.com/explorando-el-mundo-de-la-inyecci%C3%B3n-de-esi-b86234e66f91](https://infosecwriteups.com/explorando-el-mundo-de-la-inyecci%C3%B3n-de-esi-b86234e66f91)
## Lista de detección de fuerza bruta
{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssi_esi.txt" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PR al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).