Xml外部实体注入(XXE)漏洞(九)

最新推荐文章于 2024-05-16 14:33:42 发布
最新推荐文章于 2024-05-16 14:33:42 发布
阅读量652 收藏 2
点赞数 3
文章标签: xml java 开发语言
原文链接:https://blog.csdn.net/comeonyangzi/article/details/88744080
版权

转自腾讯安全应急响应中心

一、XML基础知识


XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。

 

DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。


内部声明DTD


<!DOCTYPE 根元素 [元素声明]>


引用外部DTD


<!DOCTYPE 根元素 SYSTEM "文件名">


或者


<!DOCTYPE 根元素 PUBLIC "public_ID" "文件名">

 
 

DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。


内部声明实体


<!ENTITY 实体名称 "实体的值">


引用外部实体


<!ENTITY 实体名称 SYSTEM "URI">


或者


<!ENTITY 实体名称 PUBLIC "public_ID" "URI">

二、XML外部实体注入(XML External Entity)


当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

引入外部实体方式有多种,比如:


恶意引入外部实体方式1:

XML内容:
 

 

恶意引入外部实体方式2:

XML内容:
 

 

DTD文件(evil.dtd)内容:
 

 

恶意引入外部实体方式3:

XML内容:
 

 

DTD文件(evil.dtd)内容:
 

 

另外,不同程序支持的协议不一样,
 

 

上图是默认支持协议,还可以支持其他,如PHP支持的扩展协议有
 

 

以下举例说明XXE危害,当然XXE不止这些危害。
 

XXE危害1:读取任意文件
 

 

该CASE是读取/etc/passwd,有些XML解析库支持列目录,攻击者通过列目录、读文件,获取帐号密码后进一步攻击,如读取tomcat-users.xml得到帐号密码后登录tomcat的manager部署webshell。
 

另外,数据不回显就没有问题了吗?如下图,
 

 

不,可以把数据发送到远程服务器,
 

 

远程evil.dtd文件内容如下:
 

 


触发XXE攻击后,服务器会把文件内容发送到攻击者网站

 

XXE危害2:执行系统命令

 


该CASE是在安装expect扩展的PHP环境里执行系统命令,其他协议也有可能可以执行系统命令。

XXE危害3:探测内网端口

 


该CASE是探测192.168.1.1的80、81端口,通过返回的“Connection refused”可以知道该81端口是closed的,而80端口是open的。

XXE危害4:攻击内网网站
 

该CASE是攻击内网struts2网站,远程执行系统命令。

三、客户端XXE案例


日前,某office文档转换软件被爆存在XXE漏洞(PS:感谢TSRC平台白帽子Titans`报告漏洞),某一应用场景为:Web程序调用该office软件来获取office文档内容后提供在线预览。由于该软件在处理office文档时,读取xml文件且允许引用外部实体,当用户上传恶意文档并预览时触发XXE攻击。详情如下:


新建一个正常文档,内容为Hi TSRC,
 

 

使用该软件转换后可以得到文本格式的文档内容,

 

当往该docx的xml文件注入恶意代码(引用外部实体)时,可进行XXE攻击。
 

四、防御XXE攻击


方案一、使用开发语言提供的禁用外部实体的方法


PHP:

libxml_disable_entity_loader(true);


JAVA:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();

dbf.setExpandEntityReferences(false);


Python

from lxml import etree

xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

方案二、过滤用户提交的XML数据

       
关键词:<!DOCTYPE和<!ENTITY,或者,SYSTEM和PUBLIC。


【最后】


无论是WEB程序,还是PC程序,只要处理用户可控的XML都可能存在危害极大的XXE漏洞,开发人员在处理XML时需谨慎,在用户可控的XML数据里禁止引用外部实体。


文中涉及到的代码和技术细节,只限用于技术交流,切勿用于非法用途。欢迎探讨交流,行文仓促,不足之处,敬请不吝批评指正。


【参考】
 

http://www.vsecurity.com/download/papers/XMLDTDEntityAttacks.pdf

http://2013.appsecusa.org/2013/wp-content/uploads/2013/12/WhatYouDidntKnowAboutXXEAttacks.pdf

https://www.owasp.org/images/5/5d/XML_Exteral_Entity_Attack.pdf

https://www.youtube.com/watch?v=j2cfebNEfic

关键_词
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XML解析器要点
随心世界
09-25 813
1、  所有元素都要正确被关闭,空元素另外处理2、  标签之间不得交叉3、  所有属性都得包上引号4、  元素,属性名大小写区分5、  CDATA区        所要写的文字                      第二行]]>解析器设置使用 DocumentBuilder 创建解析器的优点之一在于能够控制 DocumentBuilderFactory
漏洞总结——XXEXML外部实体注入
Spontaneous_0的博客
09-08 463
XXE漏洞全称为 XML External Entity Injection,即XML外部实体注入XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载, 导致用户可以控制外部的加载文件,造成XXE漏洞
XML外部实体注入--XXE漏洞
最新发布
qq_62793621的博客
05-16 1667
XXE的原理及常见利用方式。
文件读取 xxe_关于XML解析的外部实例引用漏洞攻击XXE
weixin_35914716的博客
01-15 470
XXE全称是——XML External Entity,也就是XML外部实体注入攻击。该漏洞的核心主要是在对不安全的外部实体数据进行处理时引发的安全攻击问题。如果攻击者可以上传XML文档、或HTTP通信过程中采用XML格式传输数据,并且能够在XML文档中添加恶意内容,他们就能够攻击含有缺陷的XML处理器。XXE漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行...
Java操作Office 2007
ecjtuxuan的专栏
01-05 1299
关注企业Java社区的变化与创新,通过新闻、文章、视频访谈和演讲以及迷你书等为中国Java技术社区提供一流资讯。 从以往看来,这其中经常会出现一些问题,这是由于Office文档(主要是Word,Excel和PowerPoint)是存储在一个二进制格式文件中,在COM中被称为结构化存储格式,
XXE详解
qq_48904485的博客
03-22 5494
一、XML基础知识 1、XML简介: XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 XML 和 HTML 为不同的目的而设计: XML 被设计用来传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。 2、XML 语法 1)XML 声明文件的可选部分,如果存在需要放在文
XXE攻防——XML外部实体注入
aezwm4109的博客
05-24 2132
转自腾讯安全应急响应中心 一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外...
XXE漏洞详解(全网最详细)
qq_61553520的博客
05-09 3872
XXE:全称为XML Enternal Entity Injection,中文名称:XML外部实体注入
WEB攻防-通用漏洞&XML&XXE&无回显&DTD实体&伪协议&代码审计
m0_65336233的博客
10-15 742
WEB攻防-通用漏洞&XML&XXE&无回显&DTD实体&伪协议&代码审计
Xml实体注入漏洞姿势总结
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-08 5591
Xml实体注入漏洞姿势总结
dom解析xml之中文乱码问题
fengzijia的专栏
08-31 6334
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); DocumentBuilder db = dbf.newDocumentBuilder(); Document document = db.parse(fileName); 在建立xml文档时,一般保存时默认以ansi码保存,再以utf-8读取,若有中文再会出
DOM解析工厂实例DocumentBuilderFactory
syl2850246的博客
01-02 1963
javax.xml.parses包中的DocumentBuilderFactory用于创建DOM模式的解析器对象,DocumentBuilderFactory是一个抽象工厂类,它不能直接实例化,但该类提供了一个newInstance方法,这个方法会根据本地平台默认安装的解析器,自动创建一个工厂的对象并返回. 1.得到创建DOM解析器的工厂 DocumentBuilderFactory dbf = ...
JAVA常见的XXE漏洞写法和防御
表弟的博客
08-28 2113
JAVA常见的XXE漏洞写法和防御 貌似最近经常看到有Java项目爆出XXE漏洞并且带有CVE,包括Spring-data-XMLBean XXE漏洞JavaMelody组件XXE漏洞解析、Apache OFBiz漏洞。微信支付SDK的XXE漏洞。本质上xxe漏洞都是因为对xml解析时允许引用外部实体,从而导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等。...
JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)
午夜安全
04-22 4556
(3)@XmlElement:将Java对象的属性映射为xml的节点,在使用@XmlElement时,可通过name属性改变java对象属性在xml中显示的名称。(2)@XmlAccessorType:用于指定由Java对象生成xml文件时对Java对象属性的访问方式。(4)@XmlAttribute:将Java对象的属性映射为xml的属性,并且可通过name属性为生成的xml属性指定别名。(1)@XmlRootElement:用于类级别的注释,对应XML的根节点。
XML注入攻击
热门推荐
beyond__devil的博客
10-10 1万+
一、漏洞描述 XML文件的解析依赖libxml库,而libxml2.9以前的版本默认支持并开启了外部实体的引用,服务端解析用户提交的xml文件时未对xml文件引用的外部实体(含外部普通实体外部参数实体)做合适的处理,并且实体的URL支持file://和php://等协议,攻击者可以在xml文件中声明URI指向服务器本地的实体造成攻击。 图片素材来自网络 二、形成原因 解析
使用JAXB实现XML转对象导致XXE漏洞防护
路穆里奇
05-29 1306
不安全写法,存在漏洞: public static Object convertXmlToObj(Class clazz, String xmlStr)throws Exception { JAXBContext context = JAXBContext.newInstance(clazz); Unmarshaller unmarshaller = context.creat...
xxe 漏洞分析
rnn0921的博客
08-23 433
XXEXML External Entity Injection)xml 外部实体注入漏洞是一种攻击方式,主要针对使用 XML 解析器的应用程序。该漏洞的影响范围取决于应用程序中使用的 XML 解析器以及其配置。XXE 漏洞发生在引用程序解析 XML 输入时,没用禁止外部实体的加载,导致可加载外部恶意文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起 dos 攻击等危害。
Java代码审计-XMI注入XXE
二狗的博客
02-06 1589
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
XXE漏洞XML外部实体注入
whoim_i的博客
02-20 4340
目录什么是XXE基础知识基本利用 什么是XXE XXE(XML External Entity Injection)也就是XML外部实体注入XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml 库,而 libxml2.9 以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体外部参数实体)做合适的处理,并...
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、URL等。当XML解析器解析XML文档时,如果不对外部实体进行限制,攻击者可以通过构造恶意的XML文档,将外部实体指向敏感文件或者恶意URL,从而导致漏洞。 具体来说,攻击者可以在XML文档中定义一个实体,使用DTD(Document Type Definition)语法将该实体指向一个外部文件,然后在XML文档中使用该实体。当XML解析器解析该实体时,就会将指定的外部文件读取进来,从而导致漏洞。 例如,下面的XML文档定义了一个名为“file”的实体,指向了一个敏感文件“/etc/passwd”: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE message [ <!ELEMENT message (#PCDATA)> <!ENTITY file SYSTEM "file:///etc/passwd"> ]> <message>&file;</message> ``` 如果XML解析器不对外部实体进行限制,那么解析该文档时就会读取“/etc/passwd”文件的内容,并将其包含在<message>元素中返回给应用程序,从而导致敏感信息泄漏。 为了防止XXE漏洞,可以采取以下措施: 1. 禁止使用外部实体,或者限制外部实体的使用范围。可以在XML解析器中设置相关参数,例如禁止加载外部实体、禁止解析DTD等。 2. 对外部实体进行白名单过滤,只允许加载特定的URL或文件。 3. 检查输入数据,避免恶意输入注入XML文档中。 4. 对于持久化的XML数据,应该使用安全的XML库来处理,例如使用DOM4J或JAXB等库,这些库会自动过滤掉外部实体

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值