Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Jp xxe injection_20170627_moon

123 views

Published on

XXE Injectionの資料です。

1. XXE Injection basic
2. billion laughs attack
3. cve-2015-5161

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Jp xxe injection_20170627_moon

  1. 1. XXE Injection XMLを利用した攻撃と防御方法について 2017/06/27 ムン ジェウン
  2. 2. 目次 1. XXE Injection 基礎 2. 応用攻撃 (DOS) 3. Zend(PHP Framework) XXE 脆弱性
  3. 3. 1. XXE Injection
  4. 4. XXE Injectionとは? •XML eXternal Entity Injection •XMLのDTDの外部Entity参照機能を悪 用して重要なファイル閲覧、DOSなど の行為を行う攻撃
  5. 5. XML, データ交換用の言語 <recipe> <title>スプーンの上のピーナッツバター</ title> <ingredientlist> <ingredient>ピーナッツバター</ ingredient> </ ingredientlist> <preparation> スプーンを持ってピーナッツバターの器に入れた後、ピーナッツバターを 一さじだっぷりすくう </ preparation> </ recipe> => XHTML, RSS, XML-RPC, SOAP などに使われる
  6. 6. DTD (Document Type Definition) XML文書に使用されるコンポーネントを定義 <!DOCTYPE recipe [ <!ELEMENT recipe (title?, ingredientlist?,preparation?)> <!ELEMENT ingredientlist (ingredient+)> <!ELEMENT ingredient (#PCDATA)> <!ELEMENT preparation (#PCDATA)> ]>
  7. 7. Entityとは? • XMLでデータを参照するための方法 • DTDでENTITYというキーワードを使用して定義する。 • XML本文で参照して使用する。 • &ではじめ、;で終わる。
  8. 8. Entity 使用例 DTD XML本文 &foo; は “Xml enternal entity” 文字列を参照する
  9. 9. XXE Injectionの原理 • DTDに外部エンティティ定義が可能 (SYSTEMキーワー ド使用) • 外部エンティティは文章の外部に存在する値 • 外部エンティティに重要なファイルを指定する。
  10. 10. XXE Injection 文字列例
  11. 11. POC (Proof Of Concept) Source Code : https://github.com/JaewoongMoon/php-study/blob/master/xxe/index.php
  12. 12. 防御方法 •XMLを解析する際、エンティティ参照を 無効にする。 LIBXML_NOENT : エンティティ参照を可能にする。 LIBXML_DTDLOAD :外部参照DTDサブセットをロード Or libxml_disable_entity_loader関数を私用する。
  13. 13. 事例 • Facebook https://threatpost.com/xxe-bug-patched-in-facebook-careers-third- party-service/110151/ • Google ttp://securityaffairs.co/wordpress/23943/hacking/hacking-google- server-with-xml.html • Wordpress https://packetstormsecurity.com/files/121492/wpadvancedxml-xxe.txt
  14. 14. 関連CVE Database : 261件 http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=xxe
  15. 15. 1 4 1 2 1 7 18 42 67 45 57 16 0 10 20 30 40 50 60 70 80 2002 2005 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 年度別の発表件数の推移
  16. 16. 2.応用攻撃
  17. 17. Billion Laughs 攻撃 XML Bomb 笑笑笑笑笑笑笑笑笑笑笑 笑笑笑笑笑笑笑笑笑笑笑 笑笑笑笑笑笑笑笑笑笑笑 ~~~~~
  18. 18. https://en.wikipedia.org/wiki/Billion_laughs X 10 X 10 … 3Byte x 10^9 = 3GB
  19. 19. But, failed… Detected an entity reference loop in Entity
  20. 20. 代案攻撃 : Quadratic Blowup • 参照を1段階までにする。 • Entityの内容を長くする。 • 参照回数を多くする。 <?xml version="1.0"?> <!DOCTYPE test[ <!ENTITY a "lololollololollololollololollololollololollol...."> ]> <test><testing>&a;&a;&a;&a;&a;&a;&a;&a;&a;... </testing></test> 10000個ぐらい いれたら?
  21. 21. POC (Proof Of Concept) Source Code : https://github.com/JaewoongMoon/php-study/blob/master/xxe/lol_test.php
  22. 22. 3. Zend Framework XXE 脆弱性
  23. 23. http://www.php-developer.org/most-used-php-framework-the-popular-top-7-list-in-year-2011/
  24. 24. CVE-2015-5161 • Zend Frameworkのバージョン2.4.2以下(最新バージョンは2.5.3) • Php-fpmを使用している環境 • Php-fpmはPHP FastCGI Process Managerの略で、 動的ページを早く提供するために使用される。
  25. 25. 防御しているのに、何で脆弱? • libxml_disable_entity_loaderは、スレッド安全ではない。 => 外部EntitySettingがあるFPM Processによって 上書きされる可能性がある! => php-fpm環境でlibxml_disable_entity_loaderをつかうのは 安全ではない。
  26. 26. library/Zend/Xml/Security.php ?
  27. 27. heuristicScan Funciton Code 文字列のエンコーディングにバイパス可能
  28. 28. Entity 監査迂回 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE methodCall [ <!ENTITY pocdata SYSTEM "file:///etc/passwd"> ]> <methodCall> <methodName>retrieved: &pocdata;</methodName> </methodCall> $ cat poc-utf8.xml | sed 's/UTF-8/UTF-16/' ¥ | iconv -f UTF-8 -t UTF-16 >poc-utf16.xml poc-utf8.xml
  29. 29. 脆弱性修正後コード https://github.com/zendframework/Zen dXml/blob/master/library/ZendXml/Sec urity.php#L332
  30. 30. 参考資料 • http://hyunmini.tistory.com/66 • https://depthsecurity.com/blog/exploitation-xml-external-entity-xxe-injection • https://ko.wikipedia.org/wiki/XML • https://en.wikipedia.org/wiki/Document_type_definition • http://php.net/manual/en/domdocument.loadxml.php • http://php.net/manual/en/libxml.constants.php • http://php.net/manual/en/language.operators.bitwise.php • http://stackoverflow.com/questions/38807506/what-does-libxml-noent-do-and-why-isnt-it- called-libxml-ent • https://www.exploit-db.com/exploits/37765/ • https://framework.zend.com/security/advisory/ZF2015-06 • https://github.com/zendframework/ZendXml/blob/master/library/ZendXml/Security.php#L332
  31. 31. ありがとうございます。

×