XXE漏洞全称XML External Injection即XML外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。
DTD文档类型定义可定义合法的XML文档构建模块。它使用一系列合法的元素来定义文档结构。DTD可被成行的声明于XML文档中(内部实体),也可做为一个外部引用(外部实体)。
(POC)测试漏洞是否存在
漏洞存在的前提是对方服务器可以解析xml,在漏洞挖掘的时候看数据包中的Accept和content-type中是否有application/xml的存在,如果有就可以尝试进行XXE漏洞挖掘。
在后端可以解析xml语句的函数是simplexml_load_string()
以上是一种有回显的XXE,当没有回显时,如何判断XXE漏洞的存在?
回答是利用DNSlog平台,在无回显的payload如下
提交payload后可以在dnslog上看到解析记录
(EXP)漏洞利用
内部引入
读被攻击者服务器的系统文件
外部引入,数据外带
在自己的服务器上写入文件evil.dtd,并开启web服务
python -m http.server 80
在payload中进行引用
提交payload,在dnslog平台上得到win.ini的数据
XXE的防御
对用户上传的XML数据进行过滤
过滤外部实体(本文中所引用的dtd文件)具体操作可以是在XML解析器中设置