WebGoat 8.0 XXE注入 解题思路
★ 题目
地址: http://127.0.0.1:8080/WebGoat/start.mvc#lesson/XXE.lesson/2
★ XXE 注入攻击是什么
XXE 是 XML External Entity的缩写。
XXE注入攻击,发生在一些配置较弱的XML解析器中。XXE攻击可以导致隐私数据泄露、拒绝服务、服务端请求伪造、端口扫描等问题。
OSWASP 中关于 XXE attack的说明: https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing
★ XML Entity语法
参考: http://www.w3school.com.cn/dtd/dtd_entities.asp
- 内部实体声明
语法:<!ENTITY 实体名称 "实体的值">
例子:
DTD 中定义(当然DTD的规则可以写道XML文件中):
<!ENTITY writer "Bill Gates">
<!ENTITY copyright "Copyright W3School.com.cn">
XML 中引用Entity:
<author>&writer;©right;</author>
注释: 一个实体由三部分构成: 一个和号 (&), 一个实体名称, 以及一个分号 (?。
- 外部实体声明
语法:<!ENTITY 实体名称 SYSTEM "URI/URL">
例子:
DTD 中定义(当然DTD的规则可以写道XML文件中):
<!ENTITY writer SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
<!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
XML 中引用Entity:
<author>&writer;©right;</author>
WebGoat XXE 题目中用到的是外部实体声明。
★ 解题思路
- 需要用Burpsuite来截取HTTP请求,并修改其中的xml数据。
- 将xml数据中添加XML entity,并采用
file:///
的方式获取根目录的文件
最终修改xml的内容为下面的内容,才通过了此题。
<?xml version="1.0"?><!DOCTYPE my [<!ENTITY root SYSTEM "file:///C:/">]><comment><text>&root;</text></comment>
其中,DOCTYPE my
的名字可以是其他字符串,而不必是my
。ENTITY root
的名字可以是其他字符串,而不必是root
。不过命名规则最好不要违反XML的要求。
需要说明的是,如果采用"file:///"
,在windows系统中会出现如下异常:
javax.xml.bind.UnmarshalExceptionn - with linked exception:n[javax.xml.stream.XMLStreamException: ParseError at [row,col]:[27,12]nMessage: 1 u5B57u8282u7684 UTF-8 u5E8Fu5217u7684u5B57u8282 1 u65E0u6548u3002]
异常的详细内容,参考这个链接。
在Windows中,需要采用"file:///C:/"
这种方式访问C盘目录,最好确保这个目录下没有中日韩文的文件名、目录名。
在Linux中,可以采用"file:///"
。
★ 参考
(1)WebGoat源码审计之XXE注入: https://bbs.ichunqiu.com/thread-39504-1-1.html
(2)DTD - 实体: http://www.w3school.com.cn/dtd/dtd_entities.asp
(3) XML 命名规则: http://www.w3school.com.cn/xml/xml_elements.asp
XML 元素必须遵循以下命名规则:
名称可以含字母、数字以及其他的字符
名称不能以数字或者标点符号开始
名称不能以字符 “xml”(或者 XML、Xml)开始
名称不能包含空格
可使用任何名称,没有保留的字词。
相关系列文章:
WebGoat SQL注入之 Order by注入解题思路
WebGoat SQL注入解题思路
WebGoat SQL盲注 解题思路
WebGoat 8.0 XXE注入 解题思路