实验准备
1)在实验开始之前,我们已经在C盘根目录准备好了实验需要用到的POC验证excel文件,如下:
注:实验环境中没有安装Excel不能直接创建,方法供参考。
新建excel文件 test1.xlsx -> 修改后缀为.zip -> 在zip文件中,修改[Content_Types].xml,在其中加入XXE验证POC -> 重新修改后缀为 .xlsx
同样新建excel文件 test2.xlsx -> 修改后缀为.zip -> 在zip文件中,修改 /xl/workbook.xml,在其中加入XXE验证POC -> 重新修改后缀为 .xlsx
同样新建excel文件 test3.xlsx -> 修改后缀为.zip -> 在zip文件中,修改 /xl/worksheets/shee1.xml,在其中加入XXE验证POC -> 重新修改后缀为 .xlsx
2)在实验开始之前,我们已经安装好了存在漏洞的组件,版本信息分别为:
Apache POI:poi-ooxml-3.10-FINAL
Excel-Streaming-Reader:2.0.0
Tika:tika-app-1.12
下面实验分别对以上三种组件解析Excel引入XXE漏洞进行复现并分析漏洞产生原因。
实验任务一:Apache POI,受影响版本:poi-ooxml-3.10-FINAL 及其以下版本
示例代码如下:
运行代码,触发漏洞如下:
我们在 WorkbookFactory.create() 下断点调试,当进入执行 init 初始化方法时,以zip方式将文件信息传入 OPCPackage.open() 方法,
然后跟进调用链,如下:
pack.getParts() -> this.getPartsImpl() -> new ZipContentTypeManager(getZipArchive().getInputStream(entry),this) -> parseContentTypesFile(in)
发现是直接通过 SAXReader 来解析xml文档,导致xxe漏洞的产生
而修复方案,则是在此处增加了一个SAXHelper类来进行防御处理(位置在poi-ooxml-3.10.1.jar!/org/apache/poi/util/SAXHelper.class)