java sql解析器_漏洞经验分享丨Java审计之XXE（下）

最新推荐文章于 2024-04-12 11:40:16 发布

weixin_39620334

最新推荐文章于 2024-04-12 11:40:16 发布

阅读量146

点赞数

文章标签： java sql解析器

本文链接：https://blog.csdn.net/weixin_39620334/article/details/112083516

版权

本文深入探讨了无回显的XXE漏洞，即BlindXXE，以及利用带外数据通道（OOB-XXE）提取数据的技术。通过示例解释了攻击者如何利用这些方法窃取敏感信息，并阐述了BlindXXE的工作原理。同时，分享了XXE漏洞的防御策略，包括审计中发现和利用XXE的实例。

摘要由CSDN通过智能技术生成

上篇内容我们介绍了XXE的基础概念和审计函数的相关内容，今天我们将继续分享Blind XXE与OOB-XXE的知识点以及XXE防御方法，希望对大家的学习有所帮助！

上期回顾

◀漏洞经验分享丨Java审计之XXE(上)

Blind XXE

Blind XXE与OOB-XXE

一般XXE利用分为两大场景：有回显和无回显。有回显的情况可以直接在页面中看到Payload的执行结果或现象(带内XML外部实体(XXE)，即攻击者可以发送带有XXE有效负载的请求并从包含某些数据的Web应用程序获取响应)，无回显的情况又称为Blind XXE，可以使用外带数据通道提取数据即带外XML外部实体(OOB-XXE)。

以下是攻击者如何利用参数实体使用带外(OOB)技术窃取数据的示例。

request:

XML解析器将首先处理%file加载文件的参数实体/etc/lsb-release。接下来，XML解析器将在http://attacker.com/evil.dtd向攻击者的DTD发出请求。

一旦处理了攻击者的DTD，all%参数实体将创建一个名为＆send的通用实体; ，其中包含一个包含文件内容的URL(例如http://attacker.com/?collect=DISTRIB_ID=Ubuntu …)。最后，一旦URL构造的&send; 实体由解析器处理，解析器向攻击者的服务器发出请求。然后，攻击者可以在其结尾处记录请求，并从记录的请求中重建文件的内容。

知道何为Blind XXE后，这里再分析一下原理：

Blind XXE原理

带外数据通道的建立是使用嵌套形式，利用外部实体中的URL发出访问，从而跟攻击者的服务器发生联系。

直接在内部实体定义中引用另一个实体的方法如下，但是这种方法行不通。

但是这样做行不通，原因是不能在实体定义中引用参数实体，即有些解释器不允许在内层实体中使用外部连接，无论内层是一般实体还是参数实体。

解决方案是：将嵌套的实体声明放入到一个外部文件中，这里一般是放在攻击者的服务器上，这样做可以规避错误。

如下：payload

nc -lvv port 监听即可获得请求回显内容。

XXE利用

示例无回显读取本地敏感文件(Blind OOB XXE)：

此部分演示借用php中XXE进行说明

xml.php

test.dtd

payload：

整个调用过程：我们从 payload 中能看到连续调用了三个参数实体 %remote;%int;%send;，这就是我们的利用顺序，%remote 先调用，调用后请求远程服务器上的 test.dtd ，有点类似于将 test.dtd 包含进来，然后 %int 调用 test.dtd 中的 %file, %file 就会去获取服务器上面的敏感文件。

将 %file 的结果填入到 %send 以后(因为实体的值中不能有 %, 所以将其转成html实体编码 %)，我们再调用 %send; 把我们的读取到的数据发送到我们的远程 vps 上，这样就实现了外带数据的效果，完美的解决了 XXE 无回显的问题。

新的利用：如图所示