web漏洞-SSI注入漏洞深入详解 _SSI注入

SSI 注入全称Server-Side Includes Injection，即服务端包含注入。SSI 是类似于 CGI，用于动态页面的指令。SSI 注入允许远程在 Web 应用中注入脚本来执行代码。
SSI是嵌入html页面中的指令，在页面被提供时由服务器进行运算，以对现有HTML页面增加动态生成的内容，而无须通过CGI程序提供其整个页面，或者使用其他动态技术。
从技术角度上来说，SSI就是在HTML文件中，可以通过注释行调用的命令或指针，即允许通过在HTML页面注入脚本或远程执行任意代码。
1.1 启用SSI
**示例：Nginx 配置SSI功能**
在http段中加入下面几句即可：
ssi on;ssi_silent_errors off;ssi_types text/shtml;默认Apache不开启SSI，SSI这种技术已经比较少用了。如果应用没有使用到SSI，关闭服务器对SSI的支持即可。
IIS和Apache都可以开启SSI功能，具体可参考:Apache、Nginx 服务配置服务器端包含（SSI）
1.2 SSI语法
首先，介绍下SHTML，在SHTML文件中使用SSI指令引用其他的html文件（#include），此时服务器会将SHTML中包含的SSI指令解释，再传送给客户端，此时的HTML中就不再有SSI指令了。比如说框架是固定的，但是里面的文章，其他菜单等即可以用#include引用进来。
①显示服务器端环境变量<#echo>
本文档名称：
<!–#echo var="DOCUMENT_NAME"–>
现在时间：
<!–#echo var="DATE_LOCAL"–>
显示IP地址：
<! #echo var="REMOTE_ADDR"–>
②将文本内容直接插入到文档中<#include>
【web漏洞-SSI注入漏洞深入详解】<! #include file="文件名称"–>

<! #include virtual="文件名称"–>

注：file包含文件可以在同一级目录或其子目录中，但不能在上一级目录中，virtual包含文件可以是Web站点上的虚拟目录的完整路径
③显示WEB文档相关信息<#flastmod><#fsize>(如文件制作日期/大小等)
文件最近更新日期：
<! #flastmod file="文件名称"–>
文件的长度：
<!–#fsize file="文件名称"–>
④直接执行服务器上的各种程序<#exec>(如CGI或其他可执行程序)
<!–#exec cmd="文件名称"–>

<!–#exec cgi="文件名称"–>
<!--#exec cgi="/cgi-bin/access_log.cgi"–>
将某一外部程序的输出插入到页面中。可插入CGI程序或者是常规应用程序的输入，这取决于使用的参数是cmd还是cgi 。
⑤设置SSI信息显示格式<#config>(如文件制作日期/大小显示方式)
⑥高级SSI可设置变量使用if条件语句。
0x02 漏洞场景在很多业务中，用户输入的内容会显示在页面中。比如，一个存在反射型XSS漏洞的页面，如果输入的payload不是XSS代码而是SSI的标签，同时服务器又开启了对SSI的支持的话就会存在SSI漏洞。
从定义中看出，页面中有一小部分是动态输出的时候使用SSI，比如：