Xxe漏洞 php,PhpSpreadsheet 1.5.0 XXE漏洞复现及分析

最新推荐文章于 2023-12-14 18:00:00 发布
最新推荐文章于 2023-12-14 18:00:00 发布
阅读量497 收藏
点赞数
文章标签: Xxe漏洞 php

819a90d2d4215b9b7324ec7859838d58.png

0x01 前言

PhpSpreadsheet是一个非常流行的纯 PHP 类库,能够让你方便的读写Excel、LibreOffic Calc等表格格式的文件,是PHPExcel的替代者。2018年11月13日,PhpSpreadsheet 被爆出存在XXE漏洞(CVE-2018-19277),在表格的解压文件中插入UTF-7编码的恶意xml payload,可绕过PhpSpreadsheet 库的安全检查造成XXE攻击。

0x02 影响范围

PhpSpreadsheet 1.5.0及以下版本

0x03 漏洞复现

自Office 2007以后,Excel存储的文件后缀为xlsx,相对于之前的旧版本多了一个X,实质上xlsx文件是一个压缩包。新建一个exploit.xlsx空文件,执行 unzip exploit.xlsx

427281fcd5aae0207c98adeb628a18ae.png

将如下payload进行UTF-7编码,并替换掉xl/worksheets/sheet1.xml。

%aaa;%ccc;%ddd;]>

编码后的payload如下图 ,注意一定要修改 xml 编码encoding的值。

b4b41aa441860466c814283d7988e77c.png

执行 zip -r ../exploit1.xlsx * 进行重打包生成exploit1.xlsx;切换到Web目录,利用composer安装1.5.0版本的PhpSpreadsheet composer require phpoffice/phpspreadsheet=1.5.0 ,在同一目录下新建excel.php,内容如下所示:

error_reporting(-1);

require 'vendor/autoload.php';

$reader = PhpOfficePhpSpreadsheetIOFactory::createReader('Xlsx'); //创建Xlsx读对象

$reader->setReadDataOnly(TRUE);

$spreadsheet = $reader->load('exploit1.xlsx'); //加载excel表格文件exploit1.xlsx

?>

开启报错提示后,访问excel.php会看到warning信息,有利于我们快速定位到问题函数和所在行。

1543d8f876de88448bd02799b6388f99.png

随后,在ceye平台上看到了解析xml文件时的外部实体请求。

677e580698aabde354d074c7a1ed0c4c.png

0x04 漏洞分析

漏洞分析从我们创建的excel.php开始,文件第4行调用了vendor/phpoffice/phpspreadsheet/src/PhpSpreadsheet/IOFactory.php的createReader方法,当$readers数组中不存在$readerType的key值时,便会抛出异常。

aef8741ded7dea4cbf49745eff9f8ff5.png

这里传递的 $readerType='Xlsx' ,因此返回对应的value值为 ReaderXlsx::class

8bf5682718710bf40a8c23df5261873a.png

77行则创建了PhpOfficePhpSpreadsheetReaderXlsx对象,随后返回给$reader对象,并调用了load方法;跟进到对应的类文件vendor/phpoffice/phpspreadsheet/src/PhpSpreadsheet/Reader/Xlsx.php,在389行定义了load方法,方法先调用了File类的assertFile方法判断表格文件是否存在,并在402-403调用 ZipArchive类的open方法打开exploit1.xlsx文件便于调用解压后的子文件。

9eb8fe2bced64fa78f51af774572dfed.png

随后load方法会根据解压后文件类型进行逐一处理,这里不一一分析,根据warning信息直接定位到760行的simplexml_load_string方法,该方法通常用于把 XML 字符串载入对象中,如若使用不当则容易导致XXE漏洞。这里先调用了getFromZipArchive方法处理xl/wordsheets/sheet1.xml,即插入xxe payload的xml文件。

7cfadcfcbee3840b0306f21a7fbd800e.png

跟进到getFromZipArchive方法,该方法调用了ZipArchive::getFromName方法,根据文件名从压缩文件中获取对应文件的内容并返回。

1c978ef4fec1cea626639667fd7780a8.png

返回Xlsx.php的757行,getFromZipArchive方法的返回值还经过了securityScan方法处理,跟进到Xlsx类的父类vendor/phpoffice/phpspreadsheet/src/PhpSpreadsheet/Reader/BaseReader.php,securityScan方法利用正则表达式匹配 /?!?D?O?C?T?Y?P?E?/ ,正是由于采用了UTF-7编码,导致 从而绕过了securityScan方法对XXE攻击的防御。

f3e7d263fbd83adc546ab14d55a8c571.png

0x05 官方补丁分析

官方在2018年11月21日放出补丁修复了该漏洞,创建了一个PHPOffice/PhpSpreadsheet/src/PhpSpreadsheet/Reader/Security/XmlScanner.php xml内容安全检查的类文件,在Xlsx.php的构造函数中实例化了这个安全类,随后在调用simplexml_load_string方法处理xml内容之前,都会调用安全类的scan方法检查是否存在XXE攻击。

b4c9b58d9b0292c569a0682ba9980199.png

我们跟进到XmlScanner.php,发现该类主要采用两个方法防止XXE攻击:一是在构造函数中,当 PHP 版本为7.x时,设置 libxml_disable_entity_loader(true) 禁止加载外部实体;

f43166c7b41a5ee6ba1c51a1a7285fec.png

二是在scan方法中,通过正则匹配XML的编码格式,并将其转换成UTF-8编码,再利用正则匹配是否存在 /?!?D?O?C?T?Y?P?E?/ ,官方补丁通过两个方法相结合的方式防止XXE攻击。

0670bc166622d5ae29245e97ce56e39d.png

0x06 小结

通过分析其实可以发现,Xlsx.php的load方法不单单只处理了xl/wordsheets/sheet1.xml,也解析了包括

xl/_rels/workbook.xml.rels

xl/theme/theme1.xml

_rels/.rels

docProps/app.xml

docProps/core.xml

xl/_rels/workbook.xml.rels

xl/styles.xml

xl/workbook.xml

可以将UTF-7编码的payload替换上述文件内容,同样可以触发XXE攻击。并且,UTF-7也并非唯一可用编码,诸如UTF-16等可绕过安全正则检查的编码方式也可被利用。PhpSpreadsheet作为PHP处理表格文件最流行的类库,被大量的用户和网站使用,建议开发人员及时升级版本到最新。

参考

键盘侠·伍德
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
内含xxe漏洞原理,以及该漏洞的多种利用方式,同时根据八个具体案例详细描述漏洞的利用方式。 【想要搭建vulnhub内靶场可关注博主,然后私聊我哦】 同时内含vulnhub中xxe lab:1靶场的过关记录 渗透思路: 由于网站信息什么都没有给出,首先判断靶场搭建的ip【实在判断不出来可以nmap扫一下,找到开放80端口的ip】 得到ip后,可以使用burpsuite进行目录爬取,得到sitemap后就可以对相应可疑站点进行测试,由于该靶场为xxe漏洞靶场,找到对应的登录页面抓包进行构造payload进行测试,其中具体构造payload并找到对应flag见pdf所示。 资源使用人群:前后端有一定了解,具备一些安全方面知识,但不多,保姆级教程,只要你想学就能学会。 工具:忍者渗透测试系统【burpsuite,nmap,base32解密,php在线运行环境,base64解密,cmd5在线平台】
攻防世界web解题[进阶](六)
weixin_46703850的博客
03-10 579
攻防世界web解题[进阶](六)
PHP安全---文件包含漏洞
weixin_43803070的博客
06-07 279
原理就是注入一段用户能控制的脚本或代码,并在服务器端执行。 常见的导致文件包含的函数如下: PHP: include(), include—once(),require(), require_once(), fopen(), readfile(),… 当使用这4个函数包含一个新的文件时,该文件将作为PHP代码执行,PHP内核并不会在意该被包含的文件是什么类型。所以如果被包含的是txt文件、图片文件...
java:excel文件读写四、XSSF and SAX (Event API)
a232884c的博客
04-24 999
java:excel文件读写三、poi 1 依赖配置 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.5.4</version> </parent> <dependencies> &l
php request漏洞利用,牛人写的. 高级PHP应用程序漏洞审核技术
weixin_34028581的博客
03-10 225
251062610627106281062910630106311063210633o70693pjwCrvVt3oobAaOr-------------------------------------------------------------------------------当10634次时候我们得到了结果。当PHP版本到了5.2.1后,通过修改算法修补了奇数和偶数的播种相等的问题,这样...
用 XmlReader 读取 Excel 2007 文件
weixin_33720956的博客
09-23 158
在我最近开发的一个网页查询的项目中,客户提供的数据是多个 Excel 2007 文件,这些文件都很大,有的有十几万行(注意:Excel 2003 文件不能超过 65,536 行)。这些 Excel 2007 文件需要定期批量转换为网页程序可以读取的专用二进制格式文件。我们知道,Microsoft Office System 2007 引入了一个新的文件格式:Office Open XML 格式。她...
xxe漏洞
JunDao73的博客
03-17 698
XXE(XML External Entity Injection) XML外部实体注入。XXE就是在可以解析XML(XML是一种类似于HTML的可扩展标记语言,是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言)的地方,在这种地方提交XML的恶意代码来执行。它一般可以做到,内网文件读取,端口扫描,内网程序攻击,任意命令执行等。 php版本大于5.4.45的默认不解析外部实体。这也就是为什么说xxe漏洞越来越少了的原因。 如何防御x
XXE代码审计以及XXE漏洞修复
01-27 1693
java XXE代码审计 java 解析xml的方法越来越多,常见的是使用DOM,JDOM,DOM4J,SAX等四种方式 使用DOM解析XML protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String result=""; try { //DOM
xxe漏洞浅谈以及复现
weixin_51692662的博客
10-18 1925
xxe
xxe漏洞原理,简单复现及防御
weixin_56513549的博客
04-11 1043
xxe漏洞原理 Web应用的脚本代码没有限制XML引入外部实体,从而导致测试者可以创建一个包含外部实体的XML,使得其中的内容会被服务器端执行 当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害 xxe联系靶场 http://web.jarvisoj.com:9882/ 复现步骤 打开代理进行抓包操作 明显看到使用的是json读取 我们将包放进重发模块修改成xml读取方式 读取flag包 <?xml versio..
5、XXE漏洞pdf资料
10-15
5、XXE漏洞
刚开始学XXE漏洞,可以看看这个博客.md
05-05
刚开始学XXE漏洞的时候,很懵,看见了这个博客,就转载一下,希望对刚接触这个东西的同学有帮助,刚学的时候浪费了很多时间,希望别人可以少浪费这个找资源的时间
PhpPhpSpreadsheet安装的坑怎么这么多!
m0_47175673的博客
07-29 1283
新生成的vendor目录就是我们的安装成果,这个就和网上给的一些PhpSpreadsheet用法示例能对得上了。以上就是今天要讲的内容,本文仅仅简单介绍了PhpSpreadsheet安装时遇到的问题及解决方案,Php版本是PHP-7.4.33,服务器用的是宝塔面板-腾讯云专享版本,大家环境如果相似,可以借鉴一下,后续我会发一些PhpSpreadsheet的示例,相信这个库能做的事情比PhpExcel多一些。
XXE漏洞分析
jklbnm12的博客
09-17 429
0x01:知识准备 XXE即XML External Entity Injection,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml\\\_load默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml\\\_load_string() XML实体分为四种:字符实体,命名实体,外部实体,参数实体 1、命名实体写法: <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE
[PHP]关于php安装composer遇到的坑之phpoffice/phpspreadsheet
qq_27134147的博客
09-01 4471
作者原话 PhpSpreadsheet is a library written in pure PHP and offers a set of classes that allow you to read and write various spreadsheet file formats such as Excel and LibreOffice Calc. 翻译过来 PhpSpreadsheet是一个纯PHP编写的库,提供了一组类,允许您读取和编写各种电子表格文件格式,如Excel和LibreO
S-CMS医院建站系统XXE通用漏洞的利用与防御
seek_2022的博客
03-17 7377
本文首先对XXE漏洞和XML文档的结构进行了简单介绍,并对S-CMS进行代码审计找出漏洞利用点,并介绍了漏洞的利用过程和防御方法。
XXE漏洞详解
最新发布
weixin_59047731的博客
12-14 84
是可以控制的,因为就是前端传进来的post值,被GLOBALS解析了一下而已,同时传进来的值我们可以抓包进行控制。因为现在输入是可以控制的,所以我们只需要找可以产生回显点的地方,对应到代码,就是找输出数据的地方。因为我们在后续的代码中并没有发现任何输出点,所以这个时候就要尝试xxe的盲注。这里可以看出,id=1和id=2是同一个文件,就没必要重复查看了。id=4 id=5是同一个文件,同一个位置,查看一个即可。此时会发现是两条两条记录的出现,原因可以参考一下图片。双击进入id=3,出现错误,我们也不用管。
利用XXE漏洞读取PHP文件内容攻击如何防范
06-08
针对利用XXE漏洞读取PHP文件内容的攻击,可以采取以下措施: 1. 避免使用外部实体。禁用或限制XML解析器的外部实体,以防止攻击者利用外部实体注入恶意代码。 2. 使用白名单机制。限制XML解析器只能访问预先定义的实体,禁止访问不受信任的实体。 3. 过滤输入。在接收到XML数据之前,对输入数据进行过滤,以删除或转义可能包含恶意代码的字符。 4. 更新XML解析器。使用最新版本的XML解析器,因为较新版本通常包含针对XXE攻击的修复程序。 5. 禁止远程文件访问。禁止XML解析器访问远程文件,以防止攻击者利用XXE漏洞读取PHP文件内容等敏感信息。 6. 隔离PHP文件。将PHP文件与其他文件隔离开来,以确保攻击者无法利用XXE漏洞读取PHP文件内容。 以上措施可以帮助防止利用XXE漏洞读取PHP文件内容的攻击,保护系统的安全。但是,最好的方法是使用安全的编程实践和审查代码,以防止XXE漏洞的出现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值