java xxe漏洞利用_XXE漏洞攻防原理

最新推荐文章于 2023-12-16 18:19:54 发布
最新推荐文章于 2023-12-16 18:19:54 发布
阅读量865 收藏 1
点赞数 1
文章标签: java xxe漏洞利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42503415/article/details/115100576
版权

方便永远是安全的敌人

你的知识面,决定你的攻击面

1简述

XXE(XML External Entity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

而如今越来越多的WEB程序被发现和报告存在XXE漏洞,比如说facebook,paypal等等。很多XML的解析器默认是含有XXE漏洞的,这意味着开发人员有责任确保这些程序不受此漏洞的影响。尽管XXE漏洞已经存在了很多年,但是他从来没有获得他应得的关注度。究其原因一方面是对XXE这种利用难度高的漏洞不够重视,另一方面是XML的存在对互联网的广泛影响,以至于他出现任何问题时牵扯涉及到的应用、文档、协议、图像等等都需要做相应的更改。

2 XML结构介绍

要了解XXE漏洞,那么一定要先学习一下有关XML的基础知识。

XML是一种非常流行的标记语言,在1990年代后期首次标准化,并被无数的软件项目所采用。它用于配置文件,文档格式(如OOXML,ODF,PDF,RSS,...),图像格式(SVG,EXIF标题)和网络协议(WebDAV,CalDAV,XMLRPC,SOAP,XMPP,SAML, XACML,...),他应用的如此的普遍以至于他出现的任何问题都会带来灾难性的结果。

XML被设计为传输和存储数据,其焦点是数据的内容,目的是把数据从HTML分离,是独立于软件和硬件的信息传输工具。XML文档有自己的一个格式规范,这个格式规范是由一个叫做DTD(document type definition)的东西控制的,如下:

028f398c4069f47538dc0a370a5fbe7b.png

上面这个DTD定义了XML的根元素是message,然后元素下面还有一些子元素,其中DOCTYPE是DTD的声明;ENTITY是实体的声明,所谓实体可以理解为变量;SYSTEM、PUBLIC是外部资源的申请。那么XML到时候必须像如下这么写:

bf767faa9bd2ee2088f08644a2def00b.png

现在我们了解了XML的实体的定义,但是还没有对实体进行分类,从两个角度可以把XML分为两类共4个类型:(内部实体、外部实体)、(通用实体、参数实体)。其中两大类含有重复的地方。

内部实体:

(DTD定义代码)

7af28f0d2611c0bdaee86accb4d9cff3.png

(引用代码)

a89ef5b25553acad8a2b095c02d6823f.png

使用&xxe对上面定义的xxe实体进行了引用,到时候输出的时候&xxe就会被“test”替换。而内部实体是指在一个实体中定义的另一个实体,也就是嵌套定义。

外部实体:

外部实体表示外部文件的内容,用 SYSTEM 关键词表示,通常使用文件名”>或者public_ID” “文件名”>的形式引用外部实体。

19f11cbd1f3942b588e95aec7bb2d07c.png

有些XML文档包含system标识符定义的“实体”,这些文档会在DOCTYPE头部标签中呈现。这些定义的’实体’能够访问本地或者远程的内容。假如 SYSTEM 后面的内容可以被用户控制,那么用户就可以随意替换为其他内容,从而读取服务器本地文件(file:///etc/passwd)或者远程文件(http://www.baidu.com/abc.txt)。

通用实体:

d988057973622c97968a0a2d13c4dade.png

用&实体名;引用的实体,他在DTD中定义,在XML文档中引用

参数实体:

a.使用 % 实体名(这里空格不能少)在 DTD 中定义,并且只能在 DTD 中使用 %实体名; 引用

b.只有在DTD文件中,参数实体的声明才能引用其他实体

c.和通用实体一样,参数实体也可以外部引用

7ffd9da8311c470d181f739ce236df5e.png

3普通的XML注入

在介绍XXE之前,先简单说一下普通的XML注入,为什么要提XML注入呢,我们从XXE的全称(XML外部实体注入)可以看出,XXE也是一种XML注入,只不过注入的是XML外部实体罢了。

747f715cf6c500022195ba9cef1e0665.png

从上图可以看出来,所谓的XML注入就是在XML中用户输入的地方,根据输入位置上下文的标签情况,插入自己的XML代码。虽然由于普通的XML注入利用面窄,现实中几乎用不到,但是我们可以想到,既然可以插入XML代码我们为什么不能插入XML外部实体呢,如果能注入成功并且成功解析的话,就会大大扩宽我的XML注入的攻击面了。于是就出现了XXE

4从回显中读取本地敏感文件(Normal XXE)

这个攻击场景模拟的是服务端能接收并解析XML格式的输入并且有回显的时候,我们可以输入我们自定义的XML代码,通过外部引用实体的办法,引用服务器上面的文件。

先给出服务器端解析XML的php代码

xxe.php

libxml_disable_entity_loader (false);

$xmlfile = file_get_contents('php://input');

$dom = new DOMDocument();

$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);

$creds = simplexml_import_dom($dom);

echo $creds;

?>

其中libxml_disable_entity_loader(BOOL)函数接收true或false两种布尔型参数,用来表示是否允许禁用外部加载实体,当值为false时允许加载外部实体;

通过file_get_contents()加载传入的参数,再通过DOMDocument类中的loadXML函数加载外部传入的实体(XML),最后将结果返回显示

因此我们构造一个XML外部实体,用来访问服务器上的敏感文件,然后再数据传输过程中将自己的实体注入。

Payload:

]>

&xxe;

结果如下:

6d23a332fdb1d737810c0257356756e6.png

5b8e15805a7a5c9b3ca1df4bfd20b011.png

当然,回显注入属于是例外中的例外,毕竟XML本身就不是输出用的,一般都是用于配置或者某些极端情况下利用其它漏洞能恰好实例化解析XML的类,因此想要利用现实中更真实的XXE漏洞需要寻找一个不依靠回显的方法-----外带

5无回显读取本地敏感文件(Blind OOB XXE)

想要外带就必须能发起请求,那么什么地方能发起请求呢?很明显就是我们的外部实体定义的时候,其实光发起请求还不行,我们还得能把我们的数据传出去,而我们的数据本身也是一个对外的请求,也就是说,我们需要在请求中引用另一次请求的结果,分析下来只有我们的参数实体能做到了(并且根据规范,我们必须在一个 DTD 文件中才能完成“请求中引用另一次请求的结果”的要求)。照例给出存在问题的服务端代码。

xxe.php:

libxml_disable_entity_loader (false);

$xmlfile = file_get_contents('php://input');

$dom = new DOMDocument();

$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);

?>

可以看到这个服务器配置与上一个相比取消了回显,但是依然是不安全的。

Payload:

%remote;%int;%send;

]>

再提交数据的时候引用另一个DTD文件,test.dtd将服务器上的敏感文件进行base64编码后转发给攻击者ip:9999端口上

test.dtd:

">

结果如下:

dd1f9a1e46861049a3c7fd51d86443de.png

197ee8709fe551572cf1706ee6571fc9.png

我们从 payload 中能看到 连续调用了三个参数实体 %remote;%int;%send;,这就是我们的利用顺序,%remote 先调用,调用后请求远程服务器上的 test.dtd ,有点类似于将 test.dtd 包含进来,然后 %int 调用 test.dtd 中的 %file, %file 就会去获取服务器上面的敏感文件,然后将 %file 的结果填入到 %send 以后(因为实体的值中不能有 %, 所以将其转成html实体编码 %),我们再调用 %send; 把我们的读取到的数据发送到我们的远程主机上,这样就实现了外带数据的效果,完美的解决了 XXE 无回显的问题。

进一步对XXE漏洞分析后,我们可以很清晰地看到我们实际上都是通过file协议读取本地文件,或者通过http协议发出请求,类比一下其他漏洞例如SSRF,发现这两种漏洞的利用方式非常相似,因为他们都是从服务器向另一台服务器发起请求,所以想要更进一步的利用XXE漏洞我们要清楚在何种平台可以使用何种协议

b14c7e46eeb7e8b08ee42a8ddf070787.png

6XXE的真实案例(微信支付XXE)

在2018年7月4日微信SDK爆出XXE漏洞,通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为。

漏洞描述:

微信支付提供了一个接口,供商家接收异步支付结果,微信支付所用的java sdk在处理结果时可能触发一个XXE漏洞,攻击者可以向这个接口发送构造恶意payloads,获取商家服务器上的任何信息,一旦攻击者获得了敏感的数据 (md5-key and merchant-Id etc.),他可能通过发送伪造的信息不用花钱就购买商家任意物品

漏洞产生原因:

微信支付SDK的XXE漏洞产生原因都是因为使用了DocumentBuilderFactory没有限制外部查询而导致XXE

漏洞实例代码:

简单的代码审计一下可以发现,在构建了documentBuilder以后对传进来的strXML直接进行解析,并没有任何过滤检查的步骤,而且悲剧的是此处传入的参数是攻击者可控的注入点,于是就出现了XXE漏洞。

简化版:

d149a04d53ebf39795497d3be1a02eeb.png

完整代码:

f2682614dab76597b1e95f15f1ad284a.png

攻击代码:

ed482f973aeb732c09f1cf53e4e00535.png

直接向其中注入XML外部实体,返回c盘上的系统配置文件内容,由于可以直接回显所以采用了最简单的回显注入而不是外带注入

7XXE漏洞防御

1.使用开发语言提供的禁用外部实体的方法

PHP: libxml_disable_entity_loader(true);

JAVA:DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);

Python:  from lxml import etree

xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

2.过滤用户提交的XML数据

过滤关键词:!ENTITY,或者SYSTEM和PUBLIC

3.使用第三方应用代码及时升级补丁

孔祥康
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HIN2xxE系列RS-232收发器的原理及应用
12-13
摘要:HIN2xxE系列是由+5V单电源供电的高速RS-232收发电路,符合EIA RS-232C和V.28规范,以电源功耗低为显著特点,广泛应用于ISDN和高速调制解调器,尤其是电池供电系统中。文中主要介绍HIN2xxE系列电路的原理、特性和典型应用。     关键词:RS-232 电荷泵 关断模式 1 概述 Intersil公司的HIN2xxE系列RS-232发送器/接收器包括HIN202E、HIN206E、HIN207E、HIN208E、HIN211E、HIN213E、HIN232E等,符合美国电子工业协会(EIA)的高速RS-232C与V.28规范,特别适合那些不能提供±12V电
XXE漏洞原理及常见利用方式(以xxe-lab为示例)
weixin_43610673的博客
03-11 1883
这是一个有回显的XXE,这里读的文件是比较理想的,没有会被xml解析的字符,如果像下图中文件的内容一样就会引起xml解析报错(如Linux的/etc/fstab文件其中包含一些看起来像 XML 的字符),XML 解析器会尝试解析这些元素,但其不是一个有效的 XML 文档。而XXE是将XML元素注入变成外部实体注入,上面的基础知识部分已经提到了在DTD中声明外部实体,在xml中实体的作用相当于是一个已经定义的变量,可以在标签内使用,通过 & 符号进行引用。,是不会被解析器解析的文本。...
XXE利用的工作原理,利用方法及防御的案例讲解
白帽子凯哥聊黑客
12-15 1108
XXE(XML外部实体注入)利用是一种网络安全攻击手段,其中攻击者利用XML解析器处理外部实体的方式中的漏洞。这种攻击主要针对的是那些使用XML来处理数据的应用程序,尤其是当这些应用程序没有正确限制外部实体的处理时。通过XXE利用,攻击者可以实现各种恶意目的,包括访问服务器上的文件、发起服务器端请求伪造(SSRF)攻击,甚至可能在某些情况下导致远程代码执行。外部实体的定义和使用:利用XML解析器的行为:读取本地文件:通过定义指向本地文件系统的外部实体,攻击者可以读取服务器上的敏感文件。 服务器端请求伪造
xxe漏洞原理及防御
AoaNgzh的博客
05-06 614
在解析 XML 文档时,如果遇到了一个引用了外部实体的节点,则解析器会去解析这个外部实体,并将其内容替换为实体引用的内容。当解析器解析到这个节点时,就会去解析实体,并将实体的内容替换为节点的内容,最终导致应用程序读取了 /etc/passwd 文件的内容。需要注意的是,以上措施只是一些常见的防范措施,您需要根据具体情况设计和实现适当的防范措施,以保护您的应用程序免受 XXE 漏洞的威胁。采用安全的 XML 解析器:选择采用安全可靠的 XML 解析器,避免使用老旧的解析器或未经安全验证的解析器。
JAVA代码审计之深入XXE漏洞挖掘与防御
道阻且长,行则将至。
12-16 372
原先学习和介绍过 XXE 漏洞的基础知识,但是这对于实战中挖掘此类漏洞还是远远不够的。本文将通过 WebGoat 靶场深入学习 XXE 漏洞利用,并聚焦如何在 Java 源码审计过程中发现 XXE 漏洞,以及从研发人员视角该如何规避此类漏洞
java xxe漏洞利用_JAVAXXE漏洞
weixin_30445963的博客
03-09 1915
1. XXE简介XXE(XML外部实体注入,XML External Entity) ,漏洞在对不安全的外部实体数据进行处理时,可能存在恶意行为导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等问题。简单来说,如果系统能够接收并解析用户的XML,但未禁用DTD和Entity时,可能出现XXE漏洞,常见场景如pdf在线解析、word在线解析、定制协议或者其他可以解析...
XXE漏洞演示
bring_coco的博客
12-20 696
环境:phpstudy+xml.php 无回显用到虚拟机kali Xml.php代码如下: <?php libxml_disable_entity_loader (false); //这里相当于开启外部实体 //若为true,则表示禁用外部实体 $xmlfile = file_get_contents('php://input'); //可以获取POST来的数据 $dom = new DOMDocument(); $dom->loadXML($xm
CTF php代码审计 strpos()函数漏洞 XXE漏洞xinclude()
baynk的博客
03-21 3025
这个题之间弄了好一会,都没搞出来,一直没时间,今天下定决定把它做出来!!! <?php highlight_file(__FILE__); class Login { public function __construct($user, $pass) { $this->loginViaXml($user, $pass); } ...
SCAN_XXE:利用XML XXE漏洞
05-07
SCAN_XXE 利用XML XXE漏洞
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
第四节 XXE漏洞利用 - 任意文件读取-01
09-15
第四节 XXE漏洞利用 - 任意文件读取-01
未知攻焉知防——XXE漏洞攻防.pdf
09-18
未知攻焉知防——XXE漏洞攻防 自动化 应急响应 云安全 网络信息安全 安全威胁
通信原理期末考试试题及答案2份.doc
04-18
通信原理期末考试试题及答案2份.doc
Skeleton-Low Poly 低多边形骨架模型Unity插件美术资源包unitypackage
04-18
Skeleton-Low Poly 低多边形骨架模型Unity插件美术资源包unitypackage 支持Unity版本2019.4.29或更高 直接的低多边形骨架。 特点: - 低多边形(9k tris,8.5) - 适用于 Unity 5 及更高 版本 - 完全装配 - 包括一个 fbx 格式的模型 - PBR 纹理 - 高清纹理
基于ssm+vue学生学籍管理系统源码数据库文档.zip
04-18
基于ssm+vue学生学籍管理系统源码数据库文档.zip
工作汇报 年终总结45.pptx
04-18
引言 年度工作回顾 系统进展与亮点 技术创新与应用 市场反馈与用户评价 存在问题与挑战 未来展望与计划 结束语与感谢 一、引言 简要介绍智能家居系统的重要性和发展趋势 回顾本年度的工作目标和重点 二、年度工作回顾 系统建设与维护 完成的项目与里程碑 系统稳定性与可靠性提升 团队建设与培训 团队成员构成与职责 培训与技能提升活动 合作伙伴与资源整合 与供应商、合作伙伴的合作情况 资源整合与利用 三、系统进展与亮点 功能扩展与优化 新增功能介绍与效果评估 现有功能的优化与改进 用户体验提升 界面设计与交互优化 用户反馈与改进措施 四、技术创新与应用 物联网技术的应用 传感器与通信技术的升级 大数据分析与应用 智能家居的智能化管理 自动化控制与节能策略 安全防护与预警系统 五、市场反馈与用户评价 市场反馈分析 市场需求与竞争态势 市场占有率与增长趋势 用户评价总结 用户满意度调查结果
2024年带式输送机市场分析报告.pptx
04-18
行业分析报告
JSP-SSM健身俱乐部客户关系管理系统可升级SpringBoot源码.7z
最新发布
04-18
前台框架基于Bootstrap这一HTML5响应式框架,能够自适应不同终端设备的屏幕大小,为用户提供良好的浏览体验。开发环境兼容myEclipse、Eclipse、Idea等多种工具,配合mysql数据库,实现数据的存储与管理。后台则采用SSM(SpringMVC + Spring + Mybatis)框架,保证系统的稳定与高效运行。 系统主要包括会员信息管理、员工信息管理、设备信息管理以及退出模块。会员信息管理模块详细记录了会员的基本信息、健身目标、消费记录以及健身习惯等,同时设有会员投诉管理模块,用于收集和处理会员的意见与建议。员工信息管理模块则涵盖了员工的基本信息、工资发放情况等,帮助俱乐部进行人事管理。设备信息管理模块则负责建立器械档案,跟踪维修情况,并合理安排器械摆放位置,以延长器械使用寿命。 数据库设计方面,会员表记录了会员的各项基本信息,包括姓名、性别、职业等;部门表与员工表则分别用于记录俱乐部的组织机构和员工信息;会员消费表记录了会员的消费详情;员工工资表则用于记录员工的工资发放情况;留言表用于收集会员的留言及回复;设备类别表与设备表则详细记录了会所内器械的分类与具
xxe漏洞原理及防御方式
05-25
XXE漏洞原理是通过在XML文档中插入恶意实体来触发解析器加载恶意实体,从而发起攻击。 以下是XXE漏洞的防御方式: 1.禁止使用外部实体:在解析XML文档时,应该禁止使用外部实体,避免攻击者利用外部实体来读取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值