WebServiceHack讲解.ppt

Web Service Hack;About Me:;他们在使用Web服务： ;1，提供IP地址来源查询接口;3，验证码生成接口;内容概要： ;Go;WSDL文件解析;portType标签中提供了当前所有调用接口名称及调用方法的类型:;types标签中提供当前所有接口的参数及返回值的名称与类型信息;什么是Web服务：;发现Webservice：;Google Hack查询结果：;Seekda中查询Amazon提供的Web服务：;Xmethods中的第三方Web服务列表：;Yeah baby,that’s enough.;国内某游戏厂商在线支付平台Web服务：;DISCO文件信息泄露：;Python脚本遍历WSDL文件：;公开的Web Service测试工具：;Foundstone出品WSDigger:;WSDigger生成的报告：;Fuzzing工具WS-Attacker：枚举Web服务接口信息， SOAP请求测试，Web服务Fuzzing;商业版自动化Web服务测试神器SoapUI：;针对Web服务安全问题自动化Fuzzing过程：;攻击Web服务及测试案例;1，Web服务依赖于XML格式化语言和SOAP协议，由于之前所讲的一些特性，这些技术正在变得越来越流行，广泛的被各大企业厂商应用到实际服务中。但很少有相关人员意识到Web服务会带来的严重安全问题，攻击者通过实施Web服务攻击可以直接渗透到相关服务的核心部分，造成巨大的损失。 2，目前针对Web服务攻击的防护可以说是安全防御的一个盲区，如WAF，IDS等防护产品。而由于Web服务的开放性和灵活度非常高，所以已有的一些Web服务防御措施效果也并不明显。 3，访问权限控制是目前Web服务的主要防御和控制措施，一个Web服务接口如果权限设置不当，相关的高权限接口直接暴露在外，被恶意利用就会产生严重的后果。;一般Web Service渗透测试步骤：;国内某旅游网;请求北京 ‘and 1=@@version or ‘1‘=‘1：;国内某软件厂商;一个GetFile接口，没有对特殊字符进行过滤和限制可以导致任意文件下载：1,发送空参数请求;Base64解码后的配置文件文件内容:;国内某SNS交友社区;更换用户ID发送请求：;发现XML Injection： 1，在SOAP消息中，使用标签作为参数，如：/xmli会导致报错。 2，使用一对标签作为参数，如xmli/xmli,观察报错是否消失。;通过XML Injection 我们注入一个具有管理员权限的用户;上面针对的是使用XML格式化数据进行的XML注入，同时我们还可以发送以下请求针对SOAP请求本身进行XML注入：;1,XPath: XPath是一门在 XML 文档中查找信息的语言,通过元素和属性进行导航。 2,XQuery:建立在XPath的基础上,比XPath更加灵活，同样用于在XML文档中查询信息。已经被现在主流的RDBMS所支持，如Oracle,?DB2,? SQLServer。 3,与SQL语言不同的是，XML或者XPath，XQuery 内部没有任何访问权限的控制，如果可以控制XPath语句，就能从XML文件中查询任何信息。 4,SOAP基于xmlrpc，但比其更加复杂和强大，因为使用了rpc远程过程调用，信息均以数据流传输，因此针对Web服务的攻击可以无视php魔术引号等一些PHP配置文件中的安全限制措施;使用不存在的用户invalid/invalid登录:;Xquery注入与Xpath十分相似： doc(userdb.xml)//User[Username=‘invalid’ and Password=‘invalid’] doc(userdb.xml)//User[Username=‘invalid’ or ‘1’=‘1’ and Password=‘invalid’ or ‘1’=‘1];SharePoint Server是一个服务器功能集成套件，提供全面的内容管理和企业搜索。该套件中提供了一个用于文档格式转换的Web服务，攻击者通过向ConvertFile接口发送畸形的SOAP请求来上传恶意文件并执行任意代码。影响版本:SharePoint 2007 sp2;利用MSF执行Payload成功，获得一个Meterpreter session：;SOAP-ENV:Envelope xmlns:xsi=/2001/XMLSchema-instance xmlns:xsd=/2001/XMLSchema xmlns:clr=/soap/encoding/clr/1.0 SOAP-ENV:enc