【XXE漏洞01】XML漏洞原理及实验

1 XML语言

1. 关于XML语言基础知识先了解文章《XML语言简介及简单例子》。
2. 所有的 XML 文档（以及 HTML 文档）均由以下简单的构建模块构成：
   1. 元素：元素是 XML 以及 HTML 文档的主要构建模块，元素可包含文本、其他元素或者是空的。
   2. 属性：可提供有关元素的额外信息。
   3. 实体：实体是用来定义普通文本的变量。实体引用是对实体的引用。
   4. PCDATA：意思是被解析的字符数据（parsed character data）。
   5. CDATA：意思是字符数据（character data），不会被解析器解析的文本。
3. XML文档类型定义包括：
   1. 内部声明DTD格式：＜!DOCTYPE 根元素［元素声明］＞。
   2. 引用外部DTD格式：＜!DOCTYPE 根元素 SYSTEM ”文件名 ”＞。
4. 在DTD中进行实体声明时，将使用ENTITY关键字来声明 。实体是用于定义引用普通文本或特殊字符的快捷方式的变量。实体可在内部或外部进行声明 。
   1. 内部声明 实体格式：＜!ENTITY 实体名称 ”实体的值”＞。
   2. 引用外部 实体格式：＜!ENTITY 实体名称 SYSTEM "URI"＞。

2 XXE 漏洞简介

1. 定义：XML外部实体注入（XML External Entity）简称XXE漏洞。
2. 原因及危害：XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起doc攻击等危害。

3 XXE 漏洞实验

3.1 实验环境

1. 在虚拟机中安装win2008及phpstudy，参考《win2008R2SP1+WAMP环境部署》。
2. 在服务器根目录下，新建txt文件，输入以下代码，并重命名为test.php。
   1. 第2行：使用 file_get_ contents获取客户端输入的内容 。
   2. 第3行：使用 new DOMDocument() 初始化XML解析器。
   3. 第4行：使用 loadXML($xmlfile) 加载客户端输入的XML 内容。
   4. 第5行：使用 simplexml_import_ dom($dom) 获取 XML 文档节点，如果成功则返回SimpleXMLElement对象，如果失败则返回 FALSE 。
   5. 第6行：获取 SimpleXMLElement对象中的节点XXE ，然后输出 XXE的内容。可以看到，代码中没有限制XML引入外部实体，所以当我们创建一个包含外部
   6. 实体的XML时，外部实体的内容就会被执行。

<?php 
$xmlfile = file_get_contents('php://input'); 
$dom = new DOMDocument(); 
$dom->loadXML($xmlfile); 
$xml = simplexml_import_dom($dom);
$xxe = $xml->xxe; 
$str = "$xxe \n"; 
echo  $str;
?>

3.2 实验步骤

1. 打开BurpSuite，进入proxy代理界面，打开自带浏览器，输入http://192.168.1.4/test.php。显示结果如下，可以看到需要传入XML实体参数到目标网站，才能正常运行。
   
2. BurpSuite开启代理拦截功能，刷新浏览器页面，在proxy模块拦截到请求后，修改请求方式为POST，并在请求体中添加以下代码。

<?xml version="1.0"?>
<!DOCTYPE a [
	<!ENTITY b SYSTEM "c:/windows/win.ini" >
]>
<xml> 
<xxe>&b;</xxe>
</xml>

3. 点击发送，可以看到网页回显win.ini文件内容如下。

3.3 实验小结

1. 客户端可以控制自己输入给后台的XML实体，该实体含有可执行的恶意代码；
2. 实体注入到后台后，服务器没有进行足够的过滤，导致恶意代码被执行。

4 XXE 漏洞修复建议

1. 禁止使用外部实体，例如 libxml_disable_entity_loader(true) 。
2. 过滤用户提交的XML数据，防止出现非法内容 。

5 总结

1. 了解XXE的内容和原理。
2. 掌握XXE漏洞利用方法。
3. 掌握XXE漏洞的修改建议。