# Server Side Inclusion/Edge Side Inclusion Injection
{% hint style="success" %}
Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %}
## Server Side Inclusion Basic Information
**(Introdução retirada da** [**documentação do Apache**](https://httpd.apache.org/docs/current/howto/ssi.html)**)**
SSI (Server Side Includes) são diretivas que são **colocadas em páginas HTML e avaliadas no servidor** enquanto as páginas estão sendo servidas. Elas permitem que você **adicione conteúdo gerado dinamicamente** a uma página HTML existente, sem precisar servir a página inteira através de um programa CGI ou outra tecnologia dinâmica.\
Por exemplo, você pode colocar uma diretiva em uma página HTML existente, como:
``
E, quando a página é servida, esse fragmento será avaliado e substituído pelo seu valor:
`Tuesday, 15-Jan-2013 19:28:54 EST`
A decisão de quando usar SSI e quando ter sua página totalmente gerada por algum programa geralmente é uma questão de quão estática é a página e quanto precisa ser recalculado toda vez que a página é servida. SSI é uma ótima maneira de adicionar pequenos pedaços de informação, como a hora atual - mostrado acima. Mas se a maior parte da sua página está sendo gerada no momento em que é servida, você precisa procurar alguma outra solução.
Você pode inferir a presença de SSI se a aplicação web usar arquivos com a extensão **`.shtml`, `.shtm` ou `.stm`**, mas não é apenas esse o caso.
Uma expressão SSI típica tem o seguinte formato:
```
```
### Verificar
```javascript
// Document name
// Date
// File inclusion
// Including files (same directory)
// CGI Program results
// Including virtual files (same directory)
// Modification date of a file
// Command exec
// Command exec
// Reverse shell
// Print all variables
// Setting variables
```
## Edge Side Inclusion
Há um problema **com o cache de informações ou aplicações dinâmicas**, pois parte do conteúdo pode ter **variado** para a próxima vez que o conteúdo for recuperado. É para isso que o **ESI** é usado, para indicar usando tags ESI o **conteúdo dinâmico que precisa ser gerado** antes de enviar a versão em cache.\
Se um **atacante** conseguir **injetar uma tag ESI** dentro do conteúdo em cache, então, ele poderá **injetar conteúdo arbitrário** no documento antes que ele seja enviado aos usuários.
### ESI Detection
O seguinte **cabeçalho** em uma resposta do servidor significa que o servidor está usando ESI:
```
Surrogate-Control: content="ESI/1.0"
```
Se você não conseguir encontrar este cabeçalho, o servidor **pode estar usando ESI de qualquer forma**.\
Uma **abordagem de exploração cega também pode ser usada** já que uma solicitação deve chegar ao servidor dos atacantes:
```javascript
// Basic detection
hello
// If previous is reflected as "hello", it's vulnerable
// Blind detection
// XSS Exploitation Example
// Cookie Stealer (bypass httpOnly flag)
// Introduce private local files (Not LFI per se)
// Valid for Akamai, sends debug information in the response
```
### Exploração de ESI
[GoSecure criou](https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/) uma tabela para entender possíveis ataques que podemos tentar contra diferentes softwares compatíveis com ESI, dependendo da funcionalidade suportada:
* **Includes**: Suporta a diretiva ``
* **Vars**: Suporta a diretiva ``. Útil para contornar Filtros XSS
* **Cookie**: Cookies do documento são acessíveis ao mecanismo ESI
* **Cabeçalhos Upstream Necessários**: Aplicações substitutas não processarão declarações ESI a menos que a aplicação upstream forneça os cabeçalhos
* **Lista de Permissão de Hosts**: Neste caso, inclusões ESI só são possíveis a partir de hosts de servidor permitidos, tornando SSRF, por exemplo, apenas possível contra esses hosts
| **Software** | **Includes** | **Vars** | **Cookies** | **Cabeçalhos Upstream Necessários** | **Lista de Permissão de Hosts** |
| :--------------------------: | :----------: | :------: | :---------: | :-------------------------------: | :-----------------------------: |
| Squid3 | Sim | Sim | Sim | Sim | Não |
| Varnish Cache | Sim | Não | Não | Sim | Sim |
| Fastly | Sim | Não | Não | Não | Sim |
| Akamai ESI Test Server (ETS) | Sim | Sim | Sim | Não | Não |
| NodeJS esi | Sim | Sim | Sim | Não | Não |
| NodeJS nodesi | Sim | Não | Não | Não | Opcional |
#### XSS
A seguinte diretiva ESI carregará um arquivo arbitrário dentro da resposta do servidor
```xml
```
#### Bypass client XSS protection
```xml
x=>alert(/Chrome%20XSS%20filter%20bypass/);>
Use to bypass WAFs:
ipt>alert(1)ript>
error=alert(1)>
```
#### Roubar Cookie
* Roubo remoto de cookie
```xml
```
* Roubar cookie HTTP\_ONLY com XSS refletindo-o na resposta:
{% code overflow="wrap" %}
```bash
# This will reflect the cookies in the response
# Reflect XSS (you can put '">