0x01 Brief Description

XXE(XML External Entity) XML外部实体攻击也是常见的web漏洞之一,在学习这个漏洞之前有必要了解一下xml,可以参考w3c的基本介绍,http://www.w3school.com.cn/x.asp

xml(Extensible Markup Language)可扩展性标记语言,被设计用来传输和保存数据。xml也是一种树形的结构,且不同于html,它的所有元素都必须要关闭标签,且xml的标签对大小写敏感,元素的属性值必须加引号括起来,拥有正确语法的 XML 被称为“形式良好”的 XML。通过 DTD 验证的 XML 是“合法”的 XML。

文档类型定义(DTD)可定义合法的XML文档构建模块。它使用一系列合法的元素来定义文档的结构。DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。

DTD可以理解为提供了xml格式的一个描述和限定。这个DTD呢可以来自本身的xml文件中,也可以来自外部。

xml实体呢 则相当于内容占位符,用于内容转义,代表一些重复的或无法通过键盘输入或与xml 规范保留字符相冲突的字符数据。xml的实体类型大概有以下四种:

1.字符实体

2.命令实体

3.外部实体

4.参数实体

xml实体注入攻击主要是利用了外部实体进行攻击。

xml的原意是让这样使用,也是一般程序员是这么使用

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPe root [

    <!ENTITY outfile SYSTEM "outfile.xml">

]>

<root><outfile>&outfile;</outfile></root>

然后呢,攻击者一般是通过xml的外部实体结合各种协议来读取服务器上的文件。

像下面这样:

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE root [

    <!ENTITY content SYSTEM "file:///etc/passwd">

]>

<root><foo>&content;</foo></root>

这样就可以利用file协议进行任意文件读取。

当然还有其它的协议例如gopher 、php的filter协议、 java的jar协议等进行攻击。

0x02 Reproduce the vulnerability

构造一个上传页面并将xml文本提交给后台服务器处理,代码如下

 <form method="POST" action="">

     <textarea name="keyword" value="" style="width: 500px; height: 300px"></textarea>

     <input type="submit" value="submit">

 </form>

 <?php

 $keyword = @$_POST['keyword'];

 $dom = new DOMDocument();

 $dom->loadXML($keyword, LIBXML_NOENT);

 echo $dom->saveXML();

参考了rickgray的代码但有不同,自己在测试的时候发现低版本的php默认允许加载外部实体,而高版本的php是不加载外部实体的,要使用LIBXML_NOENT参数才可以解决这个问题,参考了stackoverflow的问题。

更新:XML外部实体的解析,和php版本并无关系,而是和编译时的libxml库版本有关。

我们可以看到,通过实例化一个DOMDocument对象,然后使用loadXML去加载xml,如果我们的提交的xml是这样,那么就会通过file协议去读取passwd文件,如下图

0x03 Vulnerability impact

xxe能做什么

1.文件读取

2.命令执行

3.内网探测和端口扫描

4.文件上传(java应用中的jar包上传)

5.命令执行(php安装了Expect的扩展)

6.dos攻击

0x04 漏洞发掘及利用技巧

白盒测试:查找处理xml的函数,查看处理的xml是否来自用户的输入,即是否可控

黑盒测试:查找可能存在xml处理的入口,例如某些邮件转发服务器支持用户自定义RSS推送功能可以,可以加载外部的xml进行攻击。SVG格式的图片在光栅化的过程导致的xxe。一些系统支持xml的导入,一些支持在线预览的应用例如docx中插入恶意xml进行xxe攻击等。。。

0x05 Avoid And Defense

禁用外部实体或者对外部实体的内容进行过滤

0x06 Reference

1.http://rickgray.me/2015/06/08/xml-entity-attack-review.html

2.https://security.tencent.com/index.php/blog/msg/69

0x07 不定期更新

1.https://hawkinsecurity.com/2018/03/24/gaining-filesystem-access-via-blind-oob-xxe/

XXE篇-本着就了解安全本质的想法,尽可能的用通俗易懂的语言去解释安全漏洞问题的更多相关文章

  1. xss篇-本着就了解安全本质的想法,尽可能的用通俗易懂的语言去解释安全漏洞问题

    前言 最早接触安全也是从xss攻击和sql注入攻击开始的. 0x01    跨站脚本攻击漏洞(XSS),是客户端脚本安全中的头号大敌,owasp top10 屡居榜首,由于攻击手法较多,开发者水平不一 ...

  2. CSRF篇-本着就了解安全本质的想法,尽可能的用通俗易懂的语言去解释安全漏洞问题

    0x01 Brief Description csrf 跨站伪造请求,请求伪造的一种,是由客户端即用户浏览器发起的一种伪造攻击.攻击的本质是请求可以被预测的到. 在了解csrf攻击之前,需要了解浏览器 ...

  3. SSRF篇-本着就了解安全本质的想法,尽可能的用通俗易懂的语言去解释安全漏洞问题

    SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞.一般情况下,SSRF攻击的目标是从外网无法访问的内部系统.( ...

  4. sqli篇-本着就了解安全本质的想法,尽可能的用通俗易懂的语言去解释安全漏洞问题

    前言 最早接触安全也是从xss攻击和sql注入攻击开始的. 和xss一样屡居OWASPtop10 前三名的漏洞,sqli(sql Injection)sql注入攻击也是web安全中影响较大和影响范围较 ...

  5. Java 审计之XXE篇

    Java 审计之XXE篇 0x00 前言 在以前XXE漏洞了解得并不多,只是有一个初步的认识和靶机里面遇到过.下面来 深入了解一下该漏洞的产生和利用. 0x01 XXE漏洞 当程序在解析XML输入时, ...

  6. Python开发【第十四篇】:Web框架本质

    Web框架本质 众所周知,对于所有的Web应用,本质上其实就是一个socket服务端,用户的浏览器其实就是一个socket客户端. ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 ...

  7. 如果这篇文章说不清epoll的本质,那就过来掐死我吧!

    转载自:https://www.toutiao.com/i6683264188661367309/ 目录 一.从网卡接收数据说起 二.如何知道接收了数据? 三.进程阻塞为什么不占用cpu资源? 四.内 ...

  8. 构建后端第6篇之---java 多态的本质 父类引用 指向子类实现

    张艳涛写于2021-2-20 今天来个破例了,不用英文写了,今天在家里电脑写的工具不行,简单的说 主题是:java多态的原理与实现 结论是:java的多态 Father father= new Son ...

  9. 关于C++对汉字拼音的处理——终结篇

    以前写过了3个博文,都是关于汉字转拼音的,后来发现都不是很“完美”的解决方案,第一个和第二个利用的unicode编码的范围进行确定汉字的拼音,但是难免有遗漏,这个在后面的实践中发现的,后来第三个方法是 ...

随机推荐

  1. Sniffer抓包教程

    上网络信息安全的时候用了下,中途出现了一堆奇葩的事,这里就不提了... 上教程: 先把虚拟机里面的防火墙给关了,主机防火墙也关了 之前由于ip自己设置了,然后一直ping不通,后面把ip改成自动获取就 ...

  2. Wpf控件ListBox使用实例2

    2.Xaml绑定选择结果 <StackPanel Orientation="Vertical"> <TextBlock Margin="10,10,10 ...

  3. 访问的是A网址,但是跳转B网址的内容,地址栏还是A网址

    最近家里宽带续费,是用小区小广告的宽带,打开http://download.csdn.net/ 或其他一些设计下载.购物商城或威客网址进不去 提示 经过网上大量搜索和请教,都说是以下几点引起的 1.网 ...

  4. propertychange input change

    IE678 支持propertychange事件,可以监听所有属性(包括自定义属性)的改变事件,包括手动修改输入框文本以及js修改输入框文本. propertychange事件有个特点就是不支持冒泡, ...

  5. C# Double类型 不四舍五入

    测试中发现Double类型需要#0.00 小数点精度为后2位,并且多余部分不需要四舍五入,直接截断 用字符串处理也可以,但是比较麻烦 这里给出一种思路: double a = 9999.999; a ...

  6. 加速器eaccelerator不兼容高版本php

    话说PHP官方发布PHP5.4已经有一阵了,根据使用的情况来看,似乎还是很不错的.从初始发布到现在升级到的PHP5.4.4,修正不少的Bug.PHP5.4新的版本,除了提供了更多新的特性,还有大幅的效 ...

  7. 【转】 分析iOS Crash文件:符号化iOS Crash文件的3种方法

    当你的应用提交到AppStore或者各个渠道之后,请问你多久会拿到crash文件?你如何分析crash文件的呢? 上传crash文件 你的应用应当有模块能够在应用程序crash的时候上传crash信息 ...

  8. UIGestureRecognizer手势识别

    UIGestureRecognizer 1.#import "ViewController.h"2.3.@interface ViewController ()<UIGest ...

  9. Asp.net 菜单控件

    本文介绍的菜单控件采用的css 和ul list来显示菜单,生成的html小,无需javascript支持,对大部分的浏览器都支持,除ie6要单独修改css也可以使其支持. 通过本文可以了解asp.n ...

  10. JSON.parse和JSON.stringify 参数详解

    JSON.parse和JSON.stringify这两个浏览器自带(IE6/7除外)的方法平常我们经常用到,但是一般都只是用到了他们的第一个参数,比如字符串转对象:JSON.parse('{}')   ...