一、XML基础知识
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
![76023195c9e9a71edd78c87b376867a0.png](https://img-blog.csdnimg.cn/img_convert/76023195c9e9a71edd78c87b376867a0.png)
DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。
内部声明DTD
<!DOCTYPE 根元素 [元素声明]>
引用外部DTD
<!DOCTYPE 根元素 SYSTEM "文件名">
或者
<!DOCTYPE 根元素 PUBLIC "public_ID" "文件名">
DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。
内部声明实体
<!ENTITY 实体名称 "实体的值">
引用外部实体
<!ENTITY 实体名称 SYSTEM "URI">
或者
<!ENTITY 实体名称 PUBLIC "public_ID" "URI">
二、XML外部实体注入(XML External Entity)
当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
引入外部实体方式有多种,比如:
恶意引入外部实体方式1:
XML内容:
![e1bd30f4f720087576fe54c55d61079e.png](https://img-blog.csdnimg.cn/img_convert/e1bd30f4f720087576fe54c55d61079e.png)
恶意引入外部实体方式2:
XML内容:
![a76f05064fe793e45ebb0dafb3a51355.png](https://img-blog.csdnimg.cn/img_convert/a76f05064fe793e45ebb0dafb3a51355.png)
DTD文件(evil.dtd)内容:
![6685f4c7b40abe26531c3771630470b9.png](https://img-blog.csdnimg.cn/img_convert/6685f4c7b40abe26531c3771630470b9.png)
恶意引入外部实体方式3:
XML内容:
![aa3d3dbf4817a4005f7229effbb1c116.png](https://img-blog.csdnimg.cn/img_convert/aa3d3dbf4817a4005f7229effbb1c116.png)
DTD文件(evil.dtd)内容:
![43f28bc289b43b26fa1cfa3a43c447cb.png](https://img-blog.csdnimg.cn/img_convert/43f28bc289b43b26fa1cfa3a43c447cb.png)
另外,不同程序支持的协议不一样,
![bad4e6c80174d394c94a231dfc9e6c71.png](https://img-blog.csdnimg.cn/img_convert/bad4e6c80174d394c94a231dfc9e6c71.png)
上图是默认支持协议,还可以支持其他,如PHP支持的扩展协议有
![34222e153fe9a50b31645aa7a9d70245.png](https://img-blog.csdnimg.cn/img_convert/34222e153fe9a50b31645aa7a9d70245.png)
以下举例说明XXE危害,当然XXE不止这些危害。
XXE危害1:读取任意文件
![0e454195b2b2f1ee8513f3150ab9604f.png](https://img-blog.csdnimg.cn/img_convert/0e454195b2b2f1ee8513f3150ab9604f.png)
![c4db32ad3bd7e8c2477e9df3cad1e353.png](https://img-blog.csdnimg.cn/img_convert/c4db32ad3bd7e8c2477e9df3cad1e353.png)
该CASE是读取/etc/passwd,有些XML解析库支持列目录,攻击者通过列目录、读文件,获取帐号密码后进一步攻击,如读取tomcat-users.xml得到帐号密码后登录tomcat的manager部署webshell。
另外,数据不回显就没有问题了吗?如下图,
![54ce17589f5e60a9c5aca9be5f016f6d.png](https://img-blog.csdnimg.cn/img_convert/54ce17589f5e60a9c5aca9be5f016f6d.png)
不,可以把数据发送到远程服务器,
![f9c9622e3d3b26bb74744c063a96bf3f.png](https://img-blog.csdnimg.cn/img_convert/f9c9622e3d3b26bb74744c063a96bf3f.png)
远程evil.dtd文件内容如下:
![f6ecbf847bab5c6c7d6e5dc816410d53.png](https://img-blog.csdnimg.cn/img_convert/f6ecbf847bab5c6c7d6e5dc816410d53.png)
触发XXE攻击后,服务器会把文件内容发送到攻击者网站
![d56f19260f8ba147f0e4c620e44d5453.png](https://img-blog.csdnimg.cn/img_convert/d56f19260f8ba147f0e4c620e44d5453.png)
![b106a81923b793dc711980bb727245cf.png](https://img-blog.csdnimg.cn/img_convert/b106a81923b793dc711980bb727245cf.png)
XXE危害2:执行系统命令
![c39268ab98db943dc46fefc93e3adc2c.png](https://img-blog.csdnimg.cn/img_convert/c39268ab98db943dc46fefc93e3adc2c.png)
![b868424922a1ce5041b1093a6c61ebe2.png](https://img-blog.csdnimg.cn/img_convert/b868424922a1ce5041b1093a6c61ebe2.png)
该CASE是在安装expect扩展的PHP环境里执行系统命令,其他协议也有可能可以执行系统命令。
XXE危害3:探测内网端口
![ecd513af0d662a343200b7b12f9b30ca.png](https://img-blog.csdnimg.cn/img_convert/ecd513af0d662a343200b7b12f9b30ca.png)
![6f8cf51f8f24efc1f3afcfc076fe7237.png](https://img-blog.csdnimg.cn/img_convert/6f8cf51f8f24efc1f3afcfc076fe7237.png)
该CASE是探测192.168.1.1的80、81端口,通过返回的“Connection refused”可以知道该81端口是closed的,而80端口是open的。
XXE危害4:攻击内网网站
![5cbdf9ecfc344ce741a3d191544ba46c.png](https://img-blog.csdnimg.cn/img_convert/5cbdf9ecfc344ce741a3d191544ba46c.png)
![626715c4cbc11dbfcbae0715be7b0998.png](https://img-blog.csdnimg.cn/img_convert/626715c4cbc11dbfcbae0715be7b0998.png)
该CASE是攻击内网struts2网站,远程执行系统命令。
三、客户端XXE案例
日前,某office文档转换软件被爆存在XXE漏洞(PS:感谢TSRC平台白帽子Titans`报告漏洞),某一应用场景为:Web程序调用该office软件来获取office文档内容后提供在线预览。由于该软件在处理office文档时,读取xml文件且允许引用外部实体,当用户上传恶意文档并预览时触发XXE攻击。详情如下:
新建一个正常文档,内容为Hi TSRC,
![9c01859cf036afaca556e982b1252ef2.png](https://img-blog.csdnimg.cn/img_convert/9c01859cf036afaca556e982b1252ef2.png)
使用该软件转换后可以得到文本格式的文档内容,
![edf5b4fb0cb0d3918442500bfa272ae3.png](https://img-blog.csdnimg.cn/img_convert/edf5b4fb0cb0d3918442500bfa272ae3.png)
![b3d515dcf451fb2d3dd690be7ee5a4e9.png](https://img-blog.csdnimg.cn/img_convert/b3d515dcf451fb2d3dd690be7ee5a4e9.png)
当往该docx的xml文件注入恶意代码(引用外部实体)时,可进行XXE攻击。
![1b3903e835ce9d271d896a2aec0e610f.png](https://img-blog.csdnimg.cn/img_convert/1b3903e835ce9d271d896a2aec0e610f.png)
![2ecab6ad0b4156f240a8b8257c768656.png](https://img-blog.csdnimg.cn/img_convert/2ecab6ad0b4156f240a8b8257c768656.png)
四、防御XXE攻击
方案一、使用开发语言提供的禁用外部实体的方法
PHP:
libxml_disable_entity_loader(true);
JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
Python:
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
方案二、过滤用户提交的XML数据
关键词:<!DOCTYPE和<!ENTITY,或者,SYSTEM和PUBLIC。
【最后】
无论是WEB程序,还是PC程序,只要处理用户可控的XML都可能存在危害极大的XXE漏洞,开发人员在处理XML时需谨慎,在用户可控的XML数据里禁止引用外部实体。
类似文档
XML外部实体(XXE)注入详解 - 渗透测试中心 - 博客园