服务器端包含注入SSI分析总结

前段时间刚好在一篇文章中看到了一个SSI的文章，现在这种业务基本上很少见了，之前也没了解过(原谅我是菜鸡~ -_-!)没留意过。运气好，刚好在某SRC上给遇到了，所以记录下学习过程。

0x01 关于SSI

SSI是英文"Server Side Includes"的缩写，翻译成中文就是服务器端包含的意思。

SSI是嵌入HTML页面中的指令，在页面被提供时由服务器进行运算，以对现有HTML页面增加动态生成的内容，而无须通过CGI程序提供其整个页面，或者使用其他动态技术。

从技术角度上来说，SSI就是在HTML文件中，可以通过注释行调用的命令或指针，即允许通过在HTML页面注入脚本或远程执行任意代码。

1.1 启用SSI

**示例：Nginx 配置SSI功能**

在http段中加入下面几句即可：

ssi on;

ssi_silent_errors off;

ssi_types text/shtml;

默认Apache不开启SSI，SSI这种技术已经比较少用了。如果应用没有使用到SSI，关闭服务器对SSI的支持即可。

IIS和Apache都可以开启SSI功能，具体可参考:Apache、Nginx 服务配置服务器端包含（SSI）

1.2 SSI语法

首先，介绍下SHTML，在SHTML文件中使用SSI指令引用其他的html文件（#include），此时服务器会将SHTML中包含的SSI指令解释，再传送给客户端，此时的HTML中就不再有SSI指令了。比如说框架是固定的，但是里面的文章，其他菜单等即可以用#include引用进来。

显示服务器端环境变量

本文档名称：

现在时间：

显示IP地址：

将文本内容直接插入到文档中

注：file包含文件可以在同一级目录或其子目录中，但不能在上一级目录中，virtual包含文件可以是Web站点上的虚拟目录的完整路径

显示WEB文档相关信息(如文件制作日期/大小等)

文件最近更新日期：

文件的长度：

直接执行服务器上的各种程序(如CGI或其他可执行程序)

将某一外部程序的输出插入到页面中。可插入CGI程序或者是常规应用程序的输入，这取决于使用的参数是cmd还是cgi。

设置SSI信息显示格式(如文件制作日期/大小显示方式)

高级SSI可设置变量使用if条件语句。

0x02 漏洞场景

在很多业务中，用户输入的内容会显示在页面中。比如，一个存在反射型XSS漏洞的页面，如果输入的payload不是XSS代码而是SSI的标签，同时服务器又开启了对SSI的支持的话就会存在SSI漏洞。

从定义中看出，页面中有一小部分是动态输出的时候使用SSI，比如：

文件相关的属性字段

当前时间

访客IP

调用CGI程序

0x03 SSI注入的条件

当符合下列条件时，攻击者可以在 Web 服务器上运行任意命令：

Web 服务器已支持SSI（服务器端包含）

Web 应用程序未对对相关SSI关键字做过滤

Web 应用程序在返回响应的HTML页面时，嵌入用户输入

SSI注入常用命令：[Server-Side Includes (SSI) Injection]

https://www.owasp.org/index.php/Server-Side_Includes_(SSI)_Injection

0x04 SSI挖掘思路

两个思路：

从业务场景来Fuzz，比如获取IP、定位、时间等

识别页面是否包含.stm,.shtm和.shtml后缀

伏特分布式漏洞扫描平台已经全面支持SSI检测（https://v.duoyinsu.com）。

google dork：'inurl:bin/cklb'

0x05 SSI漏洞复现

5.1 本地测试

我们使用bWAPP来做漏洞演示环境

选择：'Server-Side Includes (SSI) Injection'

输入个XSS的payload：''

成功执行了代码。

再使用下exec指令使用cmd作为参数执行服务器端命令：''

5.2 漏洞挖掘

运气好，刚好遇到个某SRC的。

"-->'-->`-->

执行命令

"-->'-->`-->

反弹shell

0x06 SSI防御

关闭服务器SSI功能

过滤相关SSI特殊字符（`,#,-,",'`）

具体请参考：

[SSI 注入的介绍和代码防御]：https://www.owasp.org/index.php/Server-Side_Includes_(SSI)_Injection

参考：

http://m.jb51.net/article/25725.htm

https://www.owasp.org/index.php/Server-Side_Includes_(SSI)_Injection

http://www.evilclay.com/2017/04/28/SSI-%E6%9C%8D%E5%8A%A1%E7%AB%AF%E5%8C%85%E5%90%AB%E6%B3%A8%E5%85%A5/

【本文【脉搏沉淀系列】未授权访问漏洞总结作者：安识科技w2n1ck转载注明来源安全脉搏】

本文作者：w2n1ck

本文属于安全脉搏专栏作者原创奖励计划

转载请参考：https://www.secpulse.com/archives/61458.html