[ 代码审计篇 ] 代码审计案例详解(二) XXE代码审计案例

我不是女神ヾ 2024-04-29 02:28 140阅读 0赞

> ## ? 博主介绍 ##
> 
> ?? 博主介绍：大家好，我是 [\_PowerShell][PowerShell] ，很高兴认识大家~  
> ✨主攻领域：【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】  
> ?点赞➕评论➕收藏 == 养成习惯（一键三连）?  
> ?欢迎关注?一起学习?一起讨论⭐️一起进步?文末有彩蛋  
> ?作者水平有限，欢迎各位大佬指点，相互学习进步！

#### 文章目录 ####

*  ? 博主介绍
 *  一、什么是 XXE 漏洞？
 *   *  1、XXE 简介
     *  2、XML结构介绍
     *   *  1.第一部分：声明
         *  2.第二部分：DTD（文档类型定义）
         *  3.第三部分：文档的元素
 *  二、案例讲解
 *   *  1、环境搭建
     *   *  1.准备 vulns.war 包
         *  2.启动 tomcat
         *  3.查看环境目录
         *  4.访问环境
     *  2、工具扫描
     *  3、漏洞复现
     *   *  1.获取文件
         *  2.解释payload
     *  4、漏洞修复
     *   *  1.XXE怎么防御的？
         *  2.禁用外部实体进行防御
         *  3.修复成功
 *  四、相关资源

## 一、什么是 XXE 漏洞？ ##

### 1、XXE 简介 ###

> XXE(XML External Entity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程 序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时，就会发生这种攻击。 这种攻击通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

### 2、XML结构介绍 ###

> 要了解XXE漏洞，那么一定要先学习一下有关XML的基础知识。  
> XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。

#### 1.第一部分：声明 ####

> 主要会定义一些版本，编码之类的东西。

#### 2.第二部分：DTD（文档类型定义） ####

> 也就是他的文档类型定义，形成漏洞部分。  
> 可以定义很多的实体内容，实体内容会对后面整个XML的文档去做一个对应的约束。

> DTD格式如下：

第一个是内部声明
    <!DOCTVYPE 根元素 [元素声明]>
    第二个是外部实体（我们这次漏洞用的）
    <!DOCTVYPE 根元素名称 SYSTEM "外部DTD的URI"
    第三个是public类型的
    <!DOCTVYPE 根元素名称 PUBLIC "DTD标识名" "公用DTD的URI">

#### 3.第三部分：文档的元素 ####

> 也就是他的正文，在这个里面会通过一下标签去定义一些key和value属性跟值，这样的一些东西。

## 二、案例讲解 ##

### 1、环境搭建 ###

#### 1.准备 vulns.war 包 ####

> 下载连接在文末给出  
> 把 vulns.war 包放入tomcat webapps 目录下

![在这里插入图片描述][0005b28380814046b44652c9d53fc560.png]

#### 2.启动 tomcat ####

> 下载连接在文末给出  
> 进入 tomcat bin 目录，管理员身份运行 startup.bat 文件启动 tomcat 。  
> Tomcat 启动默认会将 webapps 目录下所有的 war 包解析一遍。

![在这里插入图片描述][c5cc4206d21c4b98b045806cd67e67be.png]  
![在这里插入图片描述][878548f2212943adb2318b8afd323e7a.png]

#### 3.查看环境目录 ####

> 回到我们 webapps 目录下，发现多了一个 vulns 目录。这就是 tomcat 解析 war 包生成的。

![在这里插入图片描述][3093a42162bb45c09572392ac8756f22.png]

#### 4.访问环境 ####

http://localhost:8080/vulns/

![在这里插入图片描述][73160522ad644703a0feac7d66b0edc8.png]  
![在这里插入图片描述][d37702f8de46428289ce0aa98b00bf04.png]

### 2、工具扫描 ###

> 使用 fortify 扫描，发现源代码中存在一个XXE漏洞

![在这里插入图片描述][6c6e2e8245df4b07803bc50885d028ba.png]

### 3、漏洞复现 ###

#### 1.获取文件 ####

http://localhost:8080/vulns/007-xxe.jsp?data=%3C%3Fxml%20version%3D%221.0%22%20encoding%3D%22ISO-8859-1%22%3F%3E%3C%21DOCTYPE%20foo%20%5B%20%20%20%3C%21ELEMENT%20foo%20ANY%20%3E%20%20%3C%21ENTITY%20xxe%20SYSTEM%20%22file%3A%2F%2F%2Fc%3A%2Fwindows%2Fwin.ini%22%20%3E%5D%3E%3Cfoo%3E%26xxe%3B%3C%2Ffoo%3E

![在这里插入图片描述][8de389b941554d2dbc6b83c407c49d76.png]

#### 2.解释payload ####

> 我们解码一下payload  
> ![在这里插入图片描述][751aa7e520e34d2e860b5658b440d97b.png]

<?xml version="1.0" encoding="ISO-8859-1"?>	
    
    <!DOCTYPE foo [ 
    <!ELEMENT foo ANY > 
    <!ENTITY xxe SYSTEM "file:///c:/windows/win.ini" >]>
    
    <foo>&xxe;</foo>

> 此处将本地计算机中 file:///c:/windows/win.ini 文件的内容取出，赋值给了实体 xxe  
> 然后实体 xxe 的值作为元素 foo 中的字符串数据被解析的时候取出，作为对象里的内容然后再输出该对象的时候被打印出来。

### 4、漏洞修复 ###

#### 1.XXE怎么防御的？ ####

1.禁用外部实体
    2.过滤用户提交的XML数据 
    过滤关键词：!ENTITY，或者SYSTEM和PUBLI 
    3.使用第三方应用代码及时升级

#### 2.禁用外部实体进行防御 ####

> 我们就直接禁用外部实体来演示一下防御，使用开发语言提供的禁用外部实体的方法

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance()； 
    dbf.setExpandEntityReferences(false);

> 我们打开环境源代码

![在这里插入图片描述][3a077ac70f77459eaf9c4ebb4cd38aa5.png]

> 在如下位置添加一行

docFactory.setExpandEntityReferences(false);

> 保存

![在这里插入图片描述][7da687560dd5409584a06b7074ac65fc.png]

#### 3.修复成功 ####

> 打开漏洞环境，在验证XXE是不是存在。

> 发现漏洞已经不存在了，我们刚刚的修复是有效的。

![在这里插入图片描述][e74f571168c04f0ea4bff15a3b30574f.png]

## 四、相关资源 ##

1、vulns.war包下载链接  
[ 2、Tomcat下载链接 ][2_Tomcat_]  
[ 3、\[ 代码审计篇 \] Fortify 安装及使用详解（一)][3_ _ _ Fortify]  
[ 4、\[ 代码审计篇 \] 代码审计案例详解(一) SQL注入代码审计案例  
][4_ _ _ _ SQL_]

[PowerShell]: https://blog.csdn.net/qq_51577576
[0005b28380814046b44652c9d53fc560.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/4ddae5e51cd34c8296ae175e4cec7f94.png
[c5cc4206d21c4b98b045806cd67e67be.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/e8759cee0c2f40d8b933afb9893a1798.png
[878548f2212943adb2318b8afd323e7a.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/a6ce0935f2ab468a9f496a116b67ee58.png
[3093a42162bb45c09572392ac8756f22.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/e8dfc236e9734fbf9e76bd0a224913d6.png
[73160522ad644703a0feac7d66b0edc8.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/41e2f023b46645699b4a4dc60445abca.png
[d37702f8de46428289ce0aa98b00bf04.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/e018fed301c842e68cbbd29b82b6406a.png
[6c6e2e8245df4b07803bc50885d028ba.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/9656fd4d08c741038e2bd3bb9dcf0976.png
[8de389b941554d2dbc6b83c407c49d76.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/042923afe0df455ab5cac8518352376e.png
[751aa7e520e34d2e860b5658b440d97b.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/b30cbfadf95b4ce39ec8c412dde40042.png
[3a077ac70f77459eaf9c4ebb4cd38aa5.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/52bb7d2c2f3644c1a8e846e3fd590308.png
[7da687560dd5409584a06b7074ac65fc.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/a9ea313ef1474b5e83b3f836d4cf2b2b.png
[e74f571168c04f0ea4bff15a3b30574f.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/140af0a62a8b461991497fd3fa263ea5.png
[2_Tomcat_]: https://download.csdn.net/download/qq_51577576/87346570
[3_ _ _ Fortify]: https://blog.csdn.net/qq_51577576/article/details/128429287
[4_ _ _ _ SQL_]: https://blog.csdn.net/qq_51577576/article/details/128447381