XXE(XML External Entity)是指xml外部实体攻击漏洞
XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
一、xml基础
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。
XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
(图片来源: 未知攻焉知防——XXE漏洞攻防.)
DTD(文档类型定义)
DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。
内部声明:<!DOCTYPE 根元素 [元素声明]>
外部声明(引用外部DTD):<!DOCTYPE 根元素 SYSTEM "文件名">
DTD实体
DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。
内部实体声明:<!ENTITY 实体名称 "实体的值">
外部实体声明:<!ENTITY 实体名称 SYSTEM "URI">
二、漏洞原理
XML文件的解析依赖libxml库,而libxml2.9以前的版本默认支持并开启了外部实体的引用,服务端解析用户提交的xml文件时未对xml文件引用的外部实体做合适的处理,并且实体的URL支持file://和php://等协议,攻击者可以在xml文件中声明URI指向服务器本地的实体造成攻击。
(图片来源: What is XML External Entity (XXE)?.)
三、攻击方式
xml外部实体注入,需要引入外部实体,方式有很多种。此处我们使用vuln漏洞环境中的php_xxe进行演示:
运行环境:
php 7.0.30
libxml 2.8.0
1、读取任意文件
(1)使用file协议
payload:
<?xml version="1.0" encoding