中间件漏洞 | Apache-SSI/任意命令执行

---

前置知识

SSI

Server Side Includes，服务器端包含。SSI是一种可以指挥服务器动态声称网页内容的HTML指令。

用处

通常SSI可以用来确保网页中的一些通用内容，比如版权信息、联系方式、或导航信息在全站所有网页中保持一致。使用SSI显示这些通用内容还可以减轻网站维护的工作量，因为当需要修改这些通用信息的时候，只需要改一个地方就可以了，而不需要逐个修改每一个网页。

处理过程

各个服务器对SSI命令的支持各有不同，但#include和#exec是通用的。
使用 SSI 的页面文件通常都使用扩展名.shtml，而不是.html 或 .htm，这样以便服务器能够辨认出哪些页面包含SSI指令，这些页面需要先经过服务器处理，翻译执行其中的SSI指令，并把解释完的结果和html代码一同输出给客户端。SSI指令实在服务器端执行的。

---

靶场：ssi-rce

1 靶场介绍

Apache SSI 远程命令执行漏洞

在测试任意文件上传漏洞的时候，目标服务端可能不允许上传php后缀的文件。如果目标服务器开启了SSI与CGI支持，我们可以上传一个shtml文件，并利用语法执行任意命令。

---

2 漏洞复现

1. 运行一个支持SSI与CGI的Apache服务器：

   docker-compose build
   docker-compose up -d
   docker-compose ps
   1
   2
   3

   

2. 环境启动后，访问http://your-ip:8080/upload.php，即可看到一个上传表单。
   

3. 抓包修改
   

4. 正常上传PHP文件是不允许的，我们可以上传一个内容为的1.shtml文件：
   

5. 访问成功上传的文件路径，发现命令执行成功，出现命令执行漏洞
   

6. 查看/etc/passwd文件，发包
   

7. 访问