XXE(Xml external entity -injection) xml外部实体注入
XML 指可扩展标记语言(eXtensible Markup Language)。
XML 被设计用来传输和存储数据。
xml格式
xml格式中第二部分是文档类型定义
DTD: Document Type Definition即文档类型定义,用来为XML文档定义语义约束。
1.DTD内部声明
<! DOCTYPE根元素[元素声明
2.DTD外部引用
< DOCTYPE根元素名称 SYSTEM "外部DTD的URI">
3.引用公共DTD
<! DOCTYPE根元素名称 PUBLIC “DTD标识名” “公用DTD的URi”>
可参考XML约束——DTD约束
测试payload
<?xml version="1.0"?>
<?DOCTYPE ANY [
<?ENTITY f SYSTEM "file:///etc/passwd">
]>
<x>&f;</x>
外部引用可以支持http,file,ftp等协议。
如果一个接口支持接收xm数据,且没有对xml数据做任何安全上的措施,就可能导致XXE漏洞
simplexml_load_string函数转换形式良好的XML字符串为 SimpleXMLElement对象
在PHP里面解析xm用的是 libxml,其在≥29.0的版本中,默认是禁止解析xm!外部实体内容的。
XCE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致攻击者可以构造一个恶意的XML。
后台代码
后台代码如上图所示,如果前端提交了参数为上面的test payload的话,就会将系统文件/etc/passwd 返回,造成敏感信息的泄漏
