xxe漏洞的学习与利用总结

桃扇骨 2022-11-10 03:58 183阅读 0赞

## 前言 ##

对于xxe漏洞的认识一直都不是很清楚，而在我为期不长的挖洞生涯中也没有遇到过，所以就想着总结一下，撰写此文以作为记录，加深自己对xxe漏洞的认识。

## xml基础知识 ##

要了解xxe漏洞，那么一定得先明白基础知识，了解xml文档的基础组成。

> XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素

![a07beebe17120aee46fc07ff20d42b9c.png][]

### xml文档的构建模块 ###

所有的 XML 文档（以及 HTML 文档）均由以下简单的构建模块构成：

*  元素
 *  属性
 *  实体
 *  PCDATA
 *  CDATA

下面是每个构建模块的简要描述。  
1，元素  
元素是 XML 以及 HTML 文档的主要构建模块，元素可包含文本、其他元素或者是空的。  
实例:

<body>body text in between</body>
    <message>some message in between</message>

空的 HTML 元素的例子是 "hr"、"br" 以及 "img"。

2，属性  
属性可提供有关元素的额外信息  
实例：

3，实体  
实体是用来定义普通文本的变量。实体引用是对实体的引用。

4，PCDATA  
PCDATA 的意思是被解析的字符数据（parsed character data）。  
PCDATA 是会被解析器解析的文本。这些文本将被解析器检查实体以及标记。

5，CDATA  
CDATA 的意思是字符数据（character data）。  
CDATA 是不会被解析器解析的文本。

### DTD(文档类型定义) ###

DTD（文档类型定义）的作用是定义 XML 文档的合法构建模块。

DTD 可以在 XML 文档内声明，也可以外部引用。

1，内部声明： ex: `<!DOCTYOE test any>`  
完整实例：

<?xml version="1.0"?>
    <!DOCTYPE note [
      <!ELEMENT note (to,from,heading,body)>
      <!ELEMENT to      (#PCDATA)>
      <!ELEMENT from    (#PCDATA)>
      <!ELEMENT heading (#PCDATA)>
      <!ELEMENT body    (#PCDATA)>
    ]>
    <note>
      <to>George</to>
      <from>John</from>
      <heading>Reminder</heading>
      <body>Don't forget the meeting!</body>
    </note>

2，外部声明（引用外部DTD）： ex:`<!DOCTYPE test SYSTEM 'http://www.test.com/evil.dtd'>`  
完整实例:

<?xml version="1.0"?>
    <!DOCTYPE note SYSTEM "note.dtd">
    <note>
    <to>George</to>
    <from>John</from>
    <heading>Reminder</heading>
    <body>Don't forget the meeting!</body>
    </note>

而note.dtd的内容为:

<!ELEMENT note (to,from,heading,body)>
    <!ELEMENT to (#PCDATA)>
    <!ELEMENT from (#PCDATA)>
    <!ELEMENT heading (#PCDATA)>
    <!ELEMENT body (#PCDATA)>

### DTD实体 ###

DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量，可以内部声明或外部引用。

--------------------

实体又分为一般实体和参数实体  
1，一般实体的声明语法:  
引用实体的方式：&实体名；  
2，参数实体只能在DTD中使用，参数实体的声明格式：  
引用实体的方式：%实体名；

--------------------

1，内部实体声明: ex:`<!ENTITY eviltest "eviltest">`  
完整实例:

<?xml version="1.0"?>
    <!DOCTYPE test [
    <!ENTITY writer "Bill Gates">
    <!ENTITY copyright "Copyright W3School.com.cn">
    ]>
    
    <test>&writer;&copyright;</test>

**2，外部实体声明:**  
完整实例:

<?xml version="1.0"?>
    <!DOCTYPE test [
    <!ENTITY writer SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
    <!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
    ]>
    <author>&writer;&copyright;</author>

在了解了基础知识后，下面开始了解xml外部实体注入引发的问题。

## XXE的攻击与危害（XML External Entity） ##

1，何为XXE?  
答： xxe也就是xml外部实体注入。也就是上文中加粗的那一部分。

2，怎样构建外部实体注入？  
方式一：直接通过DTD外部实体声明  
XML内容  
![9633fa0a0692136fd250606a47aaaee5.png][]

方式二：通过DTD文档引入外部DTD文档，再引入外部实体声明  
XML内容：  
![8bf16465d1f8a216326fa224336ced59.png][]  
DTD文件内容：  
![290a4105f3884233693668953908e4cc.png][]

方式三：通过DTD外部实体声明引入外部实体声明  
好像有点拗口，其实意思就是先写一个外部实体声明，然后引用的是在攻击者服务器上面的外部实体声明  
具体看例子,XML内容  
![5bb43ea4df2fc491381d51983d4836d9.png][]

dtd文件内容：  
![2dcb95cd5bb396cd74b6ba05b9f406b5.png][]

3，支持的协议有哪些？  
不同程序支持的协议如下图：  
![4a34497d6d467f647ec921042086a111.png][]

其中php支持的协议会更多一些，但需要一定的扩展支持。

![42bb73ff68a9d471d955c3117a8a1b2b.png][]

4，产生哪些危害？

XXE危害1：读取任意文件  
![a4a8ea7783a51ece2c17467e0a214d87.png][]

![6990fd9ab726134a04fe7df9d99a445e.png][]

该CASE是读取/etc/passwd，有些XML解析库支持列目录，攻击者通过列目录、读文件，获取帐号密码后进一步攻击，如读取tomcat-users.xml得到帐号密码后登录tomcat的manager部署webshell。

另外，数据不回显就没有问题了吗？如下图，  
![53088a9d883cfc6f3ffe988d1592bdb0.png][]

不，可以把数据发送到远程服务器，

![cf4c31e59074637f3367a8cedab73090.png][]

远程evil.dtd文件内容如下：  
![bbc69e79d80f31eef016f1c0506b3970.png][]

触发XXE攻击后，服务器会把文件内容发送到攻击者网站

![ea6bb101a5fdf701d5ec01bf34528a37.png][]

XXE危害2：执行系统命令  
![ad0106302dc89893742e25ed9008af76.png][]

该CASE是在安装expect扩展的PHP环境里执行系统命令，其他协议也有可能可以执行系统命令。

XXE危害3：探测内网端口

![612a7a5250ec3dbad3767bc9dbd24ebe.png][]

![6dfed0c278d993a60a655b56933c5772.png][]

该CASE是探测192.168.1.1的80、81端口，通过返回的“Connection refused”可以知道该81端口是closed的，而80端口是open的。

XXE危害4：攻击内网网站

![03c50261f143e8467fa64aee0082e792.png][]

![018ecf4f1b217fd9069fff64e300b08c.png][]

该CASE是攻击内网struts2网站，远程执行系统命令。

## 如何防御xxe攻击 ##

方案一、使用开发语言提供的禁用外部实体的方法

PHP：
    libxml_disable_entity_loader(true);
    
    JAVA:
    DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
    dbf.setExpandEntityReferences(false);
    
    Python：
    from lxml import etree
    xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

方案二、过滤用户提交的XML数据  
关键词：<!DOCTYPE和<!ENTITY，或者，SYSTEM和PUBLIC。

## 最后 ##

通过本次对XXE的总结，认真了解了XML基础知识，XXE的攻击方式与及防御方案。

[https://www.cnblogs.com/r00tuser/p/7255939.html][https_www.cnblogs.com_r00tuser_p_7255939.html]

[a07beebe17120aee46fc07ff20d42b9c.png]: /images/20221023/7c51e9fe1d9c4b00a1c71bba9006f2e6.png
[9633fa0a0692136fd250606a47aaaee5.png]: /images/20221023/e74a200388eb41af918b386f416ed104.png
[8bf16465d1f8a216326fa224336ced59.png]: /images/20221023/e983062e319e49a09f905c3035402e2e.png
[290a4105f3884233693668953908e4cc.png]: /images/20221023/b069713a85954c0fb9f16eb09b51dea6.png
[5bb43ea4df2fc491381d51983d4836d9.png]: /images/20221023/207f6b6353a342b5aacb9844365dcd61.png
[2dcb95cd5bb396cd74b6ba05b9f406b5.png]: /images/20221023/c59a5344bfe240839b471b2b94a22945.png
[4a34497d6d467f647ec921042086a111.png]: /images/20221023/a7cef4c0528c4c5b85443b4e12ff3540.png
[42bb73ff68a9d471d955c3117a8a1b2b.png]: /images/20221023/c544fa491027449793c2b57c837a7325.png
[a4a8ea7783a51ece2c17467e0a214d87.png]: /images/20221023/3a60a9b9ab1b4d12bf262e5f7eacc31d.png
[6990fd9ab726134a04fe7df9d99a445e.png]: /images/20221023/55d4a7a2a47142909611484abfd3009f.png
[53088a9d883cfc6f3ffe988d1592bdb0.png]: /images/20221023/8b0d86e27d4144bfac4351e32dc8599f.png
[cf4c31e59074637f3367a8cedab73090.png]: /images/20221023/c214e9dffae34ad980119c7c06048bed.png
[bbc69e79d80f31eef016f1c0506b3970.png]: /images/20221023/a1551d4f61024ba39d92fc75f59590d4.png
[ea6bb101a5fdf701d5ec01bf34528a37.png]: /images/20221023/78185305da3e41e6bdb31f3f592cad83.png
[ad0106302dc89893742e25ed9008af76.png]: /images/20221023/6517aa7675664576997ed1d09f6f4fcd.png
[612a7a5250ec3dbad3767bc9dbd24ebe.png]: /images/20221023/bb7ab0531a854beab59a0c3d706a34aa.png
[6dfed0c278d993a60a655b56933c5772.png]: /images/20221023/a20ebd0f40fa450cb846058a9ef13370.png
[03c50261f143e8467fa64aee0082e792.png]: /images/20221023/ed1afdeec8414107a6813ecc1b0ce719.png
[018ecf4f1b217fd9069fff64e300b08c.png]: /images/20221023/55b85230a6a04cc48e678da9507ac4ca.png
[https_www.cnblogs.com_r00tuser_p_7255939.html]: https://www.cnblogs.com/r00tuser/p/7255939.html