xxe漏洞的学习与利用总结

你的名字 2022-05-06 03:03 257阅读 0赞

## 前言 ##

对于xxe漏洞的认识一直都不是很清楚，而在我为期不长的挖洞生涯中也没有遇到过，所以就想着总结一下，撰写此文以作为记录，加深自己对xxe漏洞的认识。

## xml基础知识 ##

要了解xxe漏洞，那么一定得先明白基础知识，了解xml文档的基础组成。

> XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素

![1205477-20170729131727597-973576085.png][]

### xml文档的构建模块 ###

所有的 XML 文档（以及 HTML 文档）均由以下简单的构建模块构成：

*  元素
 *  属性
 *  实体
 *  PCDATA
 *  CDATA

下面是每个构建模块的简要描述。  
1，元素  
元素是 XML 以及 HTML 文档的主要构建模块，元素可包含文本、其他元素或者是空的。  
实例:

<body>body text in between</body>
    <message>some message in between</message>

空的 HTML 元素的例子是 "hr"、"br" 以及 "img"。

2，属性  
属性可提供有关元素的额外信息  
实例：

3，实体  
实体是用来定义普通文本的变量。实体引用是对实体的引用。

4，PCDATA  
PCDATA 的意思是被解析的字符数据（parsed character data）。  
PCDATA 是会被解析器解析的文本。这些文本将被解析器检查实体以及标记。

5，CDATA  
CDATA 的意思是字符数据（character data）。  
CDATA 是不会被解析器解析的文本。

### DTD(文档类型定义) ###

DTD（文档类型定义）的作用是定义 XML 文档的合法构建模块。

DTD 可以在 XML 文档内声明，也可以外部引用。

1，内部声明：<!DOCTYPE 根元素 \[元素声明\]> ex: `<!DOCTYOE test any>`  
完整实例：

<?xml version="1.0"?>
    <!DOCTYPE note [
      <!ELEMENT note (to,from,heading,body)>
      <!ELEMENT to      (#PCDATA)>
      <!ELEMENT from    (#PCDATA)>
      <!ELEMENT heading (#PCDATA)>
      <!ELEMENT body    (#PCDATA)>
    ]>
    <note>
      <to>George</to>
      <from>John</from>
      <heading>Reminder</heading>
      <body>Don't forget the meeting!</body>
    </note>

2，外部声明（引用外部DTD）：<!DOCTYPE 根元素 SYSTEM "文件名"> ex:`<!DOCTYPE test SYSTEM 'http://www.test.com/evil.dtd'>`  
完整实例:

<?xml version="1.0"?>
    <!DOCTYPE note SYSTEM "note.dtd">
    <note>
    <to>George</to>
    <from>John</from>
    <heading>Reminder</heading>
    <body>Don't forget the meeting!</body>
    </note>

而note.dtd的内容为:

<!ELEMENT note (to,from,heading,body)>
    <!ELEMENT to (#PCDATA)>
    <!ELEMENT from (#PCDATA)>
    <!ELEMENT heading (#PCDATA)>
    <!ELEMENT body (#PCDATA)>

### DTD实体 ###

DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量，可以内部声明或外部引用。  
  
***实体又分为一般实体和参数实体  
1，一般实体的声明语法:<!ENTITY 实体名 "实体内容“>  
引用实体的方式：&实体名；  
2，参数实体只能在DTD中使用，参数实体的声明格式： <!ENTITY % 实体名 "实体内容“>  
引用实体的方式：%实体名；***

1，内部实体声明:<!ENTITY 实体名称 "实体的值"> ex:`<!ENTITY eviltest "eviltest">`  
完整实例:

<?xml version="1.0"?>
    <!DOCTYPE test [
    <!ENTITY writer "Bill Gates">
    <!ENTITY copyright "Copyright W3School.com.cn">
    ]>
    
    <test>&writer;&copyright;</test>

**2，外部实体声明:<!ENTITY 实体名称 SYSTEM "URI">**  
完整实例:

<?xml version="1.0"?>
    <!DOCTYPE test [
    <!ENTITY writer SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
    <!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
    ]>
    <author>&writer;&copyright;</author>

在了解了基础知识后，下面开始了解xml外部实体注入引发的问题。

## XXE的攻击与危害（XML External Entity） ##

1，何为XXE?  
答： xxe也就是xml外部实体注入。也就是上文中加粗的那一部分。

2，怎样构建外部实体注入？  
方式一：直接通过DTD外部实体声明  
XML内容  
![1205477-20170729140431597-914383211.png][]

方式二：通过DTD文档引入外部DTD文档，再引入外部实体声明  
XML内容：  
![1205477-20170729140617472-1523498833.png][]  
DTD文件内容：  
![1205477-20170729140640300-285141670.png][]

方式三：通过DTD外部实体声明引入外部实体声明  
好像有点拗口，其实意思就是先写一个外部实体声明，然后引用的是在攻击者服务器上面的外部实体声明  
具体看例子,XML内容  
![1205477-20170729141950472-1045381626.png][]

dtd文件内容：  
![1205477-20170729142002394-1678808572.png][]

3，支持的协议有哪些？  
不同程序支持的协议如下图：  
![1205477-20170729141612957-759004042.png][]

其中php支持的协议会更多一些，但需要一定的扩展支持。

![1205477-20170729141643972-251925223.png][]

4，产生哪些危害？

XXE危害1：读取任意文件  
![1205477-20170729145026738-1407663000.png][]

![1205477-20170729145035082-1171815922.png][]

该CASE是读取/etc/passwd，有些XML解析库支持列目录，攻击者通过列目录、读文件，获取帐号密码后进一步攻击，如读取tomcat-users.xml得到帐号密码后登录tomcat的manager部署webshell。

另外，数据不回显就没有问题了吗？如下图，  
![1205477-20170729145050972-1215502458.png][]

不，可以把数据发送到远程服务器，

![1205477-20170729145104285-1507820174.png][]

远程evil.dtd文件内容如下：  
![1205477-20170729145111863-976147511.png][]

触发XXE攻击后，服务器会把文件内容发送到攻击者网站

![1205477-20170729145120957-1229784360.png][]

XXE危害2：执行系统命令  
![1205477-20170729145129957-1907303428.png][]

该CASE是在安装expect扩展的PHP环境里执行系统命令，其他协议也有可能可以执行系统命令。

XXE危害3：探测内网端口

![1205477-20170729145153722-1549362415.png][]

![1205477-20170729145204847-766408731.png][]

该CASE是探测192.168.1.1的80、81端口，通过返回的“Connection refused”可以知道该81端口是closed的，而80端口是open的。

XXE危害4：攻击内网网站

![1205477-20170729145220472-216779729.png][]

![1205477-20170729145231894-1025001344.png][]

该CASE是攻击内网struts2网站，远程执行系统命令。

## 如何防御xxe攻击 ##

方案一、使用开发语言提供的禁用外部实体的方法

PHP：
    libxml_disable_entity_loader(true);
    
    JAVA:
    DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
    dbf.setExpandEntityReferences(false);
    
    Python：
    from lxml import etree
    xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

方案二、过滤用户提交的XML数据  
关键词：<!DOCTYPE和<!ENTITY，或者，SYSTEM和PUBLIC。

## 最后 ##

通过本次对XXE的总结，认真了解了XML基础知识，XXE的攻击方式与及防御方案。

[1205477-20170729131727597-973576085.png]: /images/20220506/b645fdbe443f425091e764b991a06cc0.png
[1205477-20170729140431597-914383211.png]: /images/20220506/8b049cd0335a41e3a0b55551e7cae917.png
[1205477-20170729140617472-1523498833.png]: /images/20220506/d05eb8de92c647bda1a3ae6aeb3758fa.png
[1205477-20170729140640300-285141670.png]: /images/20220506/bd7b25981f854a18bbeb9dec5c35d3e3.png
[1205477-20170729141950472-1045381626.png]: /images/20220506/314754b3177c4d1f99e006f26e1b956c.png
[1205477-20170729142002394-1678808572.png]: /images/20220506/503f1e0481e9406cba53a5bb592824f3.png
[1205477-20170729141612957-759004042.png]: /images/20220506/17028bcb1f154cd1bed1c93871f8a907.png
[1205477-20170729141643972-251925223.png]: /images/20220506/3ed7e999cd5441f2902524f7efa24a33.png
[1205477-20170729145026738-1407663000.png]: /images/20220506/5e6811548531427c9c6d4993dee364ac.png
[1205477-20170729145035082-1171815922.png]: /images/20220506/6b93e4a9a27f49f79d1f0001431fd22c.png
[1205477-20170729145050972-1215502458.png]: /images/20220506/cc06809b783f4c0587ce7f6fb91a2168.png
[1205477-20170729145104285-1507820174.png]: /images/20220506/9f748caeb0de440ca323bbcca3a3dd17.png
[1205477-20170729145111863-976147511.png]: /images/20220506/b9c23d7d57174b3197f2ce690352289b.png
[1205477-20170729145120957-1229784360.png]: /images/20220506/8609cfa67ebd4f4ea5c70a9c0d92027d.png
[1205477-20170729145129957-1907303428.png]: /images/20220506/a46da7a05674454fa2112067c19a17a2.png
[1205477-20170729145153722-1549362415.png]: /images/20220506/61d0aff1036543ecbc313a62ec9e0d82.png
[1205477-20170729145204847-766408731.png]: /images/20220506/92e58c472c564d66b206b5b0965779b4.png
[1205477-20170729145220472-216779729.png]: /images/20220506/34b8c652796c43218051fd881bc929ea.png
[1205477-20170729145231894-1025001344.png]: /images/20220506/e91f02e380ec4bb5baf833b3177b32ca.png