十二、
12.1 介绍XXE漏洞
XML外部实体注入(XML External Enity)简称XXE漏洞,XML是用于标记电子邮件使其具有结构性的标记语言,可以用来标记数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
常见的XML语法结构如下所示。
<?xml version="1.0"?>
<!SOCTYPE note [
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCCDATA)> 文档类型定义(DTD)
<!ELEMENT heading (#PCCDATA)>
<!ELEMENT body (#PCCDATA)>
]>
<note>
<to>Tove</to>
<from>Jani</from>
<heading>Reminder</heading>
<body> Don't forget me this weekend</body>
</note>
其中,文档类型定义(DTD)可以是内部声明也可以引用外部DTD,如下所示。
-
内部声明DTD格式:<!DOCTYPE 根元素 [元素声明]>。
-
引用外部DTD格式:<!DOCTYPE 根元素 SYSTEM “文件名”>。
在DTD中进行实体声明时,将使用ENTITY关键字来声明,实体是用于定义引用普通文本或特殊字符的快捷方式的变量。实体可在内部或外部进行声明。
-
内部声明实体格式:
<!ENTITY 实体名称 "实体的值">
。
-
引用外部实体格式:
<!ENTITY 实体名称 SYSTEM "URI">
。
12.2 XXE漏洞攻击
XXE漏洞攻击的测试地址:http://127.0.0.1/
HTTP请求的POST参数如下所示。
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE a [
<!ENTITY b SYSTEM "file:///C:/windows/win.ini">
]>
<xml>
<xxe>&b;</xxe>
</xml>
在POST参数中,关键语句为“file:///C:/windows/win.ini”,该语句的作用是通过file协议读取本地文件C:/windows/win.ini。
12.3 XXE漏洞代码分析
服务端处理XML的代码如下,代码的实现过程如下所示。
<?php
//libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
$dom = new DOMDocument();
$dom->loadXML($xmlfile);
$xml = simplexml_import_dom($dom);
print_r($xml);
$xxe = $xml->xxe;
$str = "$xxe \n";
echo $str;
?>
-
使用file_get_contents获取客户端输入的内容。
-
使用new DOMDocument()初始化XML解析器。
-
使用loadXML($xmlfile)加载客户端输入的XML内容。
-
使用simplexml_import_dom($dom)获取XML文档节点,如果成功则返回SimpleXMLElement对象,如果失败则返回FALSE。
-
获取SimpleXMLElemen对象中的节点XXE,然后输出XXE的内容。
可以看到,代码中没有限制XML引入外部实体,所以当我们创建一个包含外部实体的XML时外部实体的内容就会被执行。
12.4 XXE漏洞修复建议
针对XXE漏洞的修复,笔者给出以下两点建议。
-
禁止使用外部实体,例如libxml_disable_entity_loader(true)。
-
过滤用户提交的XML数据,防止出现非法内容。