Apache SSI 远程命令执行漏洞(SSI注入漏洞)

SSI 服务器端包含

SSI(server-side includes)能帮我们实现什么功能:
SSI提供了一种对现有HTML文档增加动态内容的方法,即在html中加入动态内容。

SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。

从技术角度上来说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意命令。

在测试任意文件上传漏洞的时候,目标服务端可能不允许上传php后缀的文件。如果目标服务器开启了SSI与CGI支持,我们可以上传一个shtml文件,并利用语法执行任意命令。

Apache SSI 远程命令执行漏洞

当目标服务器开启了SSI与CGI支持,我们就可以上传shtml,利用语法来执行命令。

使用SSI(Server Side Include)的html文件扩展名,SSI(Server Side Include),通常称为"服务器端嵌入"或者叫"服务器端包含",是一种类似于ASP的基于服务器的网页制作技术。默认扩展名是 .stm、.shtm 和 .shtml。

漏洞环境搭建与复现

1、使用docker搭建漏洞环境,启动环境

docker-compose build

docker-compose up -d

2、浏览器访问http://172.17.0.1:8080/upload.php,即可看到一个上传表单。
Apache SSI 远程命令执行漏洞(SSI注入漏洞)_第1张图片
3、上传一个php文件,提示不支持的上传的类型
Apache SSI 远程命令执行漏洞(SSI注入漏洞)_第2张图片
4、上传一个shell.shtml文件,里面写入以下内容:


Apache SSI 远程命令执行漏洞(SSI注入漏洞)_第3张图片
上传成功。
5、浏览器访问上传的文件,下图可以看到成功执行代码,说明存在远程命令执行漏洞
Apache SSI 远程命令执行漏洞(SSI注入漏洞)_第4张图片

SSI注入漏洞

SSI注入漏洞的原理和上面那个是一样的。在很多业务中,用户输入的内容会显示在页面中。比如,一个存在反射型XSS漏洞的页面,如果输入的payload不是XSS代码而是SSI的标签,同时服务器又开启了对SSI的支持的话就会存在SSI漏洞。

从定义中看出,页面中有一小部分是动态输出的时候使用SSI,比如:

  • 文件相关的属性字段
  • 当前时间
  • 访客IP
  • 调用CGI程序

SSI注入的条件

当符合下列条件时,攻击者可以在 Web 服务器上运行任意命令:

  • Web 服务器已支持SSI(服务器端包含)
  • Web 应用程序未对相关SSI关键字做过滤
  • Web 应用程序在返回响应的HTML页面时,嵌入了用户输入

SSI挖掘思路

两个思路:

  • 从业务场景来Fuzz,比如获取IP、定位、时间等
  • 识别页面是否包含.stm,.shtm和.shtml后缀

[BJDCTF2020]EasySearch

进入题目,一个登陆页面
Apache SSI 远程命令执行漏洞(SSI注入漏洞)_第5张图片
本以为是sql注入,但怎么注入都不成功,只能用dirsearch扫一下目录:

得到index.php.swp文件,我们访问它,得到index.php的源码:
Apache SSI 远程命令执行漏洞(SSI注入漏洞)_第6张图片


	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            

Hello,'.$_POST['username'].'

*** ***'
; fwrite($shtml,$text); fclose($shtml); *** echo "[!] Header error ..."; } else { echo ""; }else { *** } *** ?>

代码的大体逻辑就是,如果你输入的密码经过MD5加密后,密文的前6位等于6d0bc1就登陆成功,并且为这个用户生成一个唯一的.shtml页面,shtml页面里的内容是你的输入的用户名。我们来试验一下。
首先,要满足密码的条件,写个脚本找到MD5加密后等于6d0bc1的密码:

import hashlib

a= '0123456789'
for o in a:
    for p in a:
        for q in a:
            for r in a:
                for s in a:
                    for t in a:
                        for u in a:
                            b = str(o)+str(p)+str(q)+str(r)+str(s)+str(t)+str(u)
                            md5 = hashlib.md5(b.encode('utf-8')).hexdigest()
                            if ((md5[0:6])=='6d0bc1'):
                                print b

Apache SSI 远程命令执行漏洞(SSI注入漏洞)_第7张图片
找到了2020666可以。
我们随便输入哥用户名,密码输入2020666
Apache SSI 远程命令执行漏洞(SSI注入漏洞)_第8张图片
Apache SSI 远程命令执行漏洞(SSI注入漏洞)_第9张图片
可是进入页面后就什么也没有了,
Apache SSI 远程命令执行漏洞(SSI注入漏洞)_第10张图片
咱也找不到生成的.shtml文件在哪。只能抓个包看看:
Apache SSI 远程命令执行漏洞(SSI注入漏洞)_第11张图片
在响应中找到了.shtml的url,我们访问它:
Apache SSI 远程命令执行漏洞(SSI注入漏洞)_第12张图片
发现确实输出了你输入的用户名,这不正符合SSI注入的条件吗,我们只需要在刚开始的用户名处输入payload:



......

这样,将payload输出到了他给你生成的.shtml页面中,不就执行了命令了吗。

开始HACK:
输入:

用户名:
密码:2020666

Apache SSI 远程命令执行漏洞(SSI注入漏洞)_第13张图片
登录后抓包,访问.shtml,成功执行命令:
Apache SSI 远程命令执行漏洞(SSI注入漏洞)_第14张图片
发现flag_990c66bf85a09c664f0b6741840499b2文件,读取flag_990c66bf85a09c664f0b6741840499b2:

用户名:
密码:2020666

当然我们直接在url中访问flag_990c66bf85a09c664f0b6741840499b2文件即可:
在这里插入图片描述
得到flag。

SSI这种技术已经比较少用了。如果应用没有使用到SSI,关闭服务器对SSI的支持即可。

你可能感兴趣的:(CTF-Web,Web,安全)