SSI(server-side includes)能帮我们实现什么功能:
SSI提供了一种对现有HTML文档增加动态内容的方法,即在html中加入动态内容。
SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。
从技术角度上来说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意命令。
在测试任意文件上传漏洞的时候,目标服务端可能不允许上传php后缀的文件。如果目标服务器开启了SSI与CGI支持,我们可以上传一个shtml文件,并利用语法执行任意命令。
当目标服务器开启了SSI与CGI支持,我们就可以上传shtml,利用语法来执行命令。
使用SSI(Server Side Include)的html文件扩展名,SSI(Server Side Include),通常称为"服务器端嵌入"或者叫"服务器端包含",是一种类似于ASP的基于服务器的网页制作技术。默认扩展名是 .stm、.shtm 和 .shtml。
1、使用docker搭建漏洞环境,启动环境
docker-compose build
docker-compose up -d
2、浏览器访问http://172.17.0.1:8080/upload.php,即可看到一个上传表单。
3、上传一个php文件,提示不支持的上传的类型
4、上传一个shell.shtml文件,里面写入以下内容:
上传成功。
5、浏览器访问上传的文件,下图可以看到成功执行代码,说明存在远程命令执行漏洞
SSI注入漏洞的原理和上面那个是一样的。在很多业务中,用户输入的内容会显示在页面中。比如,一个存在反射型XSS漏洞的页面,如果输入的payload不是XSS代码而是SSI的标签,同时服务器又开启了对SSI的支持的话就会存在SSI漏洞。
从定义中看出,页面中有一小部分是动态输出的时候使用SSI,比如:
当符合下列条件时,攻击者可以在 Web 服务器上运行任意命令:
两个思路:
进入题目,一个登陆页面
本以为是sql注入,但怎么注入都不成功,只能用dirsearch扫一下目录:
得到index.php.swp文件,我们访问它,得到index.php的源码:
ob_start();
function get_hash(){
$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
$content = uniqid().$random;
return sha1($content);
}
header("Content-Type: text/html;charset=utf-8");
***
if(isset($_POST['username']) and $_POST['username'] != '' )
{
$admin = '6d0bc1';
if ( $admin == substr(md5($_POST['password']),0,6)) {
echo "";
$file_shtml = "public/".get_hash().".shtml";
$shtml = fopen($file_shtml, "w") or die("Unable to open file!");
$text = '
***
***
Hello,'
.$_POST['username'].'
***
***';
fwrite($shtml,$text);
fclose($shtml);
***
echo "[!] Header error ...";
} else {
echo "";
}else
{
***
}
***
?>
代码的大体逻辑就是,如果你输入的密码经过MD5加密后,密文的前6位等于6d0bc1
就登陆成功,并且为这个用户生成一个唯一的.shtml页面,shtml页面里的内容是你的输入的用户名。我们来试验一下。
首先,要满足密码的条件,写个脚本找到MD5加密后等于6d0bc1
的密码:
import hashlib
a= '0123456789'
for o in a:
for p in a:
for q in a:
for r in a:
for s in a:
for t in a:
for u in a:
b = str(o)+str(p)+str(q)+str(r)+str(s)+str(t)+str(u)
md5 = hashlib.md5(b.encode('utf-8')).hexdigest()
if ((md5[0:6])=='6d0bc1'):
print b
找到了2020666
可以。
我们随便输入哥用户名,密码输入2020666
:
可是进入页面后就什么也没有了,
咱也找不到生成的.shtml文件在哪。只能抓个包看看:
在响应中找到了.shtml的url,我们访问它:
发现确实输出了你输入的用户名,这不正符合SSI注入的条件吗,我们只需要在刚开始的用户名处输入payload:
......
这样,将payload输出到了他给你生成的.shtml页面中,不就执行了命令了吗。
开始HACK:
输入:
用户名:
密码:2020666
登录后抓包,访问.shtml,成功执行命令:
发现flag_990c66bf85a09c664f0b6741840499b2文件,读取flag_990c66bf85a09c664f0b6741840499b2:
用户名:
密码:2020666
当然我们直接在url中访问flag_990c66bf85a09c664f0b6741840499b2文件即可:
得到flag。
SSI这种技术已经比较少用了。如果应用没有使用到SSI,关闭服务器对SSI的支持即可。