目录

原理

XML语言解释

什么是xml语言：

以PHP举例xml外部实体注入

XML语言结构

面试题目

如何寻找xxe漏洞

XEE漏洞修复域防御

提高版本

代码修复

php

java

python

手动黑名单过滤(不推荐)

---

一篇文章带你深入理解漏洞之 XXE 漏洞 - 先知社区

原理

• XXE：XML External Entity 即外部实体 简称XXE漏洞

  • 从安全角度理解成XML External Entity attack 外部实体注入攻击。

  • 由于程序在解析输入的XML数据时，解析了攻击者伪造的外部实体而产生的。

---

XML语言解释

什么是xml语言：

• XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。

• XML文档结构包括

• XML声明

• DTD文档类型定义（可选）

• 文档元素

• 其实XML是一门语言，类似于html，但是后来主要用xml的文档格式来传输数据，但是现在比较新的系统，大家之前传输数据用的是json了。

• 现在很多语言里面对应的解析xml的函数默认是

  • 禁止解析外部实体内容的,从而也就直接避免了这个漏洞。

以PHP举例xml外部实体注入

• 以PHP为例,在PHP里面解析xml用的是libxml,其在≥2.9.0的版本中

  • 默认是禁止解析xml外部实体内容的

  • 如果你测试用的php中解析xml用的libxml的版本大于了2.9.1

  • 为了模拟漏洞,那么可以通过手动指定LIBXML_NOENT选项开启xml外部实体解析功能。

• 修改 libxml 版本 PHP版本

• 

---

XML语言结构

文档结构包含以下三个部分：

• Json xml 数据 xml攻击数据格式

• 外部实体注入攻击

• Xml外部实体攻击

内部声明DTD
<!DOCTYPE 根元素 [元素声明]>
引用外部DTD文档
<!DOCTYPE 根元素 SYSTEM "文件名">
<!DOCTYPE 根元素 PUBLIC "public_ID" "文件名">内部声明实体
<!ENTITY 实体名称 "实体的值">
引用外部实体
<!ENTITY 实体名称 SYSTEM "URI">
<!ENTITY 实体名称 PUBLIC "public_ID" "URI">调用方式:&实体名称;

DTD 也就是攻击代码

我们在做渗透测试 做一个读取文件 证明存在这个漏洞就行了

• payload如下:

  • 而且你需要掌握的代码就这几行，大家最好能够背下来

  --------------------------------------------------------------------------------------------

  • 声明部分

    DTD攻击载荷部分

    xml部分

• <?xml version = "1.0"?>
  <!DOCTYPE note [<!ENTITY hacker "lady_killer9">
  ]>
  <name>&hacker;</name>

如何寻找xxe漏洞

• 抓包查看accept的头是否接收xml
• 抓包修改数据类型把json改成xml来传输数据

XEE漏洞修复域防御

• 提高版本

• 代码修复

php

libxml_disable_entity_loader(true);

java

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);
setFeature("http://xml.org/sax/features/external-general-entities",false)
setFeature("http://xml.org/sax/features/external-parameter-entities",false);

python

from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

• 手动黑名单过滤(不推荐)

过滤关键词： <!DOCTYPE 、 <!ENTITY SYSTEM 、 PUBLIC