利用XSLT繼續擊垮XML
0x00 介紹
XSL
首先我們要說的是,這個XSLT應該這麼斷句:XSL-T。XSL指的是EXtensible Stylesheet Language,中文被很直白地翻譯成擴充套件樣式表語言。這種語言和xml有莫大關係:XSL之於XML相當於CSS之於HTML。HTML的每個元素都是預定義好的,比如<table>用來定義表格,瀏覽器也知道怎麼識別這個標籤,此時CSS就能輕鬆地告訴瀏覽器該怎麼顯示這個表格,然而由於XML裡面的任何標籤都可以由程式設計師自己定義,所以需要一種XSL語言來描述如何顯示xml文件。 這是一篇web安全文章,所以我們還是討論web相關的xsl安全,而支援在web上呼叫的是xslt v1,所以我們只討論version1發生的故事。
XSLT
XSL包括三個部分:XSLT,XPath,XSL-FO。在安全領域,Xpath已經有前人的研究 (xpath injection),而其他兩個幾乎無人問津。去年black hat駭客大會,終於有安全組織(IOActive)共享出自己的研究成果Abusing XSLT。 XSLT顧名思義,就是用來將XML轉換成XHTML或者是其他XML文件。
當用XML來生成其他文件時(e.g. xhtml),XSL可以作為XML的引用。同時,XSL能夠內嵌到XML中發揮作用。
既然談XSLT安全,就得考慮他們的應用場景,這篇文章我們將從客戶端和服務端兩個方面分析XSLT實現的脆弱性。為了簡化討論,我們討論這幾個vendor的安全問題:
- libxslt:libxslt為後端的Python,PHP,PERL,RUBY及前端的safari,opera,chrome提供XSL解析。
- Transformiix:討論它是因為它被firefox呼叫,用來處理xsl
- Microsoft:不用解釋也能明白,微軟自家的IE,肯定用的是自己的解析庫了。
0x01 攻擊模型
客戶/服務端:數字表示及運算風險
XSL對數學有自己的一套"獨特"的理解.我們先討論下它對大整數的處理:
Large Integers
比如
以及它的樣式
在諸如Xsltproc, Php, Perl, Ruby, Python, Safari, Chrome和Opera的libxslt系的處理軟體上,都會將上面這段xml解釋成這樣(chrome):
問題很明顯了。
IOActive給出了他們研究調查的結果
隨機數
同樣的,xsl的某些vendor對於隨機數的生成也是相當寫意的。而這個粗糙的vendor竟然還是應用最廣泛的libxslt,由於這個庫在生成隨機數的時候根本就沒有IV,所以每一次生成的隨機數,都是根本不變的。
讓我們將這個和PRG一起hi起來。。。
客戶端:Safari SOP繞過
Safari的同源策略同樣可能被這個xml的樣式語言被破壞。
前面提到過,safari早就支援xml和xhtml的轉換。然而利用XSLT中的document(), 我們能夠帶著相應的cookies跨域讀取safari其他域內的資源。 這樣一來,我們就能可以透過 document()->value-of()/copy-of()這個流程被竊取到其他網站的使用者資訊,最終,透過JavaScript傳送給攻擊者。
我復現了ioactive的poc,然而結果卻和IOActive不一樣:
在IOActive的報告中
無疑成功取到了結果,成功BYPASS。
而我本地測試的時候卻在Safari控制塔得到這樣的提示
無疑是被sop ban掉了。
是apple修復了,還是利用姿勢不對,我將POC放到了文章最後,大家可以下載下來研究。
服務端:任意檔案讀取
XSLT文件在執行錯誤的時候回立即終止,它和他的兄弟XML類似,一小丁點錯誤就會丟擲一個錯誤。然而錯誤資訊也是能夠給攻擊者帶來一些有用的資訊的。
XSLT提供了三個用來讀檔案的方法
- document(): 用來訪問另一個xml文件內的資訊(剛剛的跨域中同樣用到)
- include(): 用來將兩個樣式表合併
- import(): 用來將一個樣式表覆蓋另一個
比如如下這個樣式表A
#!xml
<?xml-stylesheet type="text/xsl" href="2-9-Reading_Non-XML-Files.xsl"?>
<file>/etc/passwd</file>
和B
#!xml
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform"> <xsl:template match="/">
<xsl:value-of select="document(file)"/> </xsl:template>
</xsl:stylesheet>
當B被解析時,會嘗試呼叫A表,而A表會試著用document()讀取/etc/passwd的內容,很明顯這不是一個xml文件,所以不可能讀取,幸運的是在輸出的錯誤資訊裡面,我們可以看到目標文字的第一行被輸出了。
雖然只有第一行,但是第一行能夠獲取的銘感資訊可不少了
- /etc/passwd: Linux root password
- /etc/shadow: Linux root password
- .htpasswd: Apache password
- .pgpass: PostgreSQL password
這次,xsltproc php perl ruby這四種語言的所有方法(document() ,import() ,include())都受到影響 (php不愧是世界上最好的語言,什麼事兒都有他的份)
相關文章
- 學習 XSLT:XML文件轉換的關鍵XML
- 找對方法,輕鬆擊垮挖礦病毒
- XSLT 元素概述
- XSLT 元素概述
- XSLT-轉換
- 2017年勒索軟體、物聯網攻擊將繼續肆虐
- 【故障公告】龍捲風繼續襲擊,伺服器們頑強抵抗伺服器
- 不忘初心,繼續前行
- XSSI攻擊利用
- JAVA GUI學習 繼續JavaGUI
- 繼續完成驗證碼
- 繼續付出真誠,持續提供價值
- XSLT – 伺服器端概述伺服器
- 繼續聊聊MVVM和元件化MVVM元件化
- 繼續吐槽一下
- 金山雲財報:繼續虧損、持續擴張
- 使用 XSLT 給 SAP PI 增加 CDATA
- Swift Protobuf 初探 —— 繼 XML 後,JSON 也要被淘汰了嗎SwiftXMLJSON
- JS繼續學習記錄(一)JS
- Postman 支援 gRPC 了!繼續領先 ~PostmanRPC
- 《原神》繼續追蹤痕跡任務攻略 繼續追蹤痕跡任務怎麼做
- 利用JSONP進行水坑攻擊JSON
- 996 icu 不算什麼?生活在繼續996
- 2020 年勒索軟體將繼續流行
- AMD或繼續搶佔CPU市場
- B站繼續在深水區掙扎
- 兄弟們還在繼續寫php嗎?PHP
- 繼續研究vue元件vue-menu元件Vue元件
- 銷燬時取消http繼續載入HTTP
- 繼Pebble之後,Fitbit繼續收購第二家智慧手錶公司
- Spring裡面xml檔案中bean的依賴和繼承SpringXMLBean繼承
- 第一週作業Linux基礎(未完待續,週日繼續)Linux
- GlobalSign證書過期不續費還可繼續訪問嗎
- 利用Burp Suite攻擊Web應用UIWeb
- 一種利用EXCEL的BazarLoader攻擊Excel
- 如何利用CDN防護CC攻擊
- 繼續配置win10安裝環境Win10
- 一級建造師如何參加繼續教育?