XXE 漏洞简单研究

近期在做个基础的 web 常见漏洞的 ppt,主要参考 OWASP TOP 10 2017RC2,此版本中增加了 XXE 攻击,所以自己简单的研究下 XXE 攻击。XXE(XML External Entity)XML 外部实体,当前端和后端通信数据采用 xml,可传入 xml 外部实体,利用后端 xml 解析器漏洞,使 xml 解析器去访问攻击者指定的资源。首先需要了解一些 xml 的基础知识。

1.xml 基础知识

XML 用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML 文档结构包括 XML 声明、DTD 文档类型定义(可选)、文档元素。

XML 具有一些特性:

(1).XML 是一种标记语言,很类似 HTML

(2).XML 被设计用来传输和存储数据,而 HTML 被设计用来显示数据

(3).XML 标签没有被预定义,需要用户自行定义标签

(4).XML 具有自我描述性

XML 的语法规则:

(1).XML 必须有一个根元素

(2).XML 必须有关闭标签

(3).XML 标签对大小写敏感

(4).XML 元素必须正确的嵌套

(5).XML 属性值必须加引号

XML DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。它使用一系列的合法元素来定义文档结构。DTD 可以在 XML 文档内声明,也可以外部引用。

(1)内部声明:<!DOCTYPE 根元素 [元素声明]>,例如 <!DOCTYPE note aaa>

(2)外部声明:<!DOCTYPE 根元素 SYSTEM "文件名">,例如 <!DOCTYPE root SYSTEM "test.dtd">

DTD 实体声明:

(1)内部实体声明

<!ENTITY 实体名称 "实体的值">

示例:

<!DOCTYPE foo [

<!ELEMENT foo ANY> <!-- 声明元素 -->

<!ENTITY test "abcdefg"> <!-- 声明内部实体 -->

<!ENTITY xxe "Thinking"> <!-- 声明内部实体 -->

]>

<foo>&xxe;&test;</foo>

(2)外部实体声明

<!ENTITY 实体名称 SYSTEM "URI/URL">

外部实体声明支持的部分协议如下:

<!DOCTYPE foo [

<!ELEMENT foo ANY >

<!ENTITY xxe SYSTEM "file:///c:/windows/win.ini"> <!-- 声明外部实体 -->

]>

<foo>&xxe;</foo>

(3)参数实体声明

参数实体的引用只能在 DTD 中使用

<!ENTITY % 实体名 "实体内容">

<!ENTITY % 实体名 SYSTEM "URI">

详情见:http://www.w3school.com.cn/dtd/index.asp

2.XXE 攻击

xxe 主要利用 xml 解析器对外部实体的解析去触发攻击,从上面支持的协议列表可以看出,可利用 xxe 去进行命令执行、读取文件、内网探测端口、作为跳板机攻击内网机器等攻击,故危害巨大。

xxe 主要分为两种场景:有回显和无回显。有回显的场景中,可以直接查看到攻击执行的结果。无回显的场景下,只能通过其他手段查看攻击效果。这次主要实验了有回显的情况。

自己编写个简单的登录场景,登录的参数使用 xml 传输,后端对接收的 xml 参数进行解析,并且返回登录情况。制作个登录,当点击 "登录" 按钮时,使用 ajax 传输 xml 格式的登录信息,

传输的数据格式为:<login><username > 用户名 </username><password > 密码 </password></login>

后端使用 dom4j 去解析传入的 xml 参数,为了实现有回显的效果,我们将传入的 username 回传给前端,并在前端显示出来。

@Controller
@RequestMapping(value="api")
public class XXEController {
    /*
        <login>
            <username>aaa</username>
            <password>adfasds</password>
        </login>
    */
    @ResponseBody
    @RequestMapping(value="loginXml.json"/*,method= RequestMethod.POST*/)
    public AjaxResponse testXXE(String xml){
        AjaxResponse ajaxResponse = new AjaxResponse();
        try {
            
            Document document = DocumentHelper.parseText(xml);
            Element rootEle = document.getRootElement();
            String username = rootEle.elementTextTrim("username");
            //String password = rootEle.elementTextTrim("password");
            ajaxResponse.setCode(210);
            ajaxResponse.setMsg("登录失败");
            ajaxResponse.setContent(username);
        }catch (Exception e){
            e.printStackTrace();
            ajaxResponse.setCode(211);
            ajaxResponse.setMsg("数据处理失败");
        }
        
        return ajaxResponse;
    }
    
}

正常登陆时,传输的参数和回显效果如下:

xml=%3Clogin%3E%3Cusername%3Eadmin%3C%2Fusername%3E%3Cpassword%3Etest123%3C%2Fpassword%3E%3C%2Flogin%3E

使用 xxe 攻击时,攻击示例代码如下,此代码读取 c:/windows/win.ini 文件

<!DOCTYPE foo 
[<!ELEMENT foo ANY>
<!ENTITY abc SYSTEM "file:///c:/windows/win.ini">]>
<login><username>&abc;</username><password>fdsf</password></login>

修改参数和回显效果如下:

3. 防御措施

关于防御措施,第一种可以关闭 xml 解析器外部解析功能,第二种进行过滤,例如过滤掉!、DOCTYPE、SYSTEM、ENTITY 等关键字

尝试下第二种方案,过滤关键字。后端代码如下,将部分关键字过滤掉。

@Controller
@RequestMapping(value="api")
public class XXEController {
    /*
        <login>
            <username>aaa</username>
            <password>adfasds</password>
        </login>
    */
    @ResponseBody
    @RequestMapping(value="loginXml.json"/*,method= RequestMethod.POST*/)
    public AjaxResponse testXXE(String xml){
        AjaxResponse ajaxResponse = new AjaxResponse();
        try {
            
            //过滤部分关键字,防止XXE
            String newXml = xml.replace("!","")
                    .replace("DOCTYPE","")
                    .replace("ELEMENT","")
                    .replace("ENTITY","");
            
            Document document = DocumentHelper.parseText(newXml);
            Element rootEle = document.getRootElement();
            String username = rootEle.elementTextTrim("username");
            //String password = rootEle.elementTextTrim("password");
            ajaxResponse.setCode(210);
            ajaxResponse.setMsg("登录失败");
            ajaxResponse.setContent(username);
        }catch (Exception e){
            e.printStackTrace();
            ajaxResponse.setCode(211);
            ajaxResponse.setMsg("数据处理失败");
        }
        
        return ajaxResponse;
    }
    
}

可以看到,将关键字过滤(替换成 ""),会导致传入的数据不符合 xml 的格式,后端在 xml 解析器在解析数据时,直接出错并跳转到异常处理代码段,证明这样过滤是有效的。以上为一次简单的研究 xxe,后续有待深入研究。

相关推荐
EasyNVR3 小时前
NVR管理平台EasyNVR多个NVR同时管理:全方位安防监控视频融合云平台方案
安全·音视频·监控·视频监控
黑客Ash6 小时前
【D01】网络安全概论
网络·安全·web安全·php
阿龟在奔跑7 小时前
引用类型的局部变量线程安全问题分析——以多线程对方法局部变量List类型对象实例的add、remove操作为例
java·jvm·安全·list
.Ayang7 小时前
SSRF漏洞利用
网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
.Ayang7 小时前
SSRF 漏洞全解析(概述、攻击流程、危害、挖掘与相关函数)
安全·web安全·网络安全·系统安全·网络攻击模型·安全威胁分析·安全架构
好想打kuo碎8 小时前
1、HCIP之RSTP协议与STP相关安全配置
网络·安全
网络安全-老纪8 小时前
iOS应用网络安全之HTTPS
web安全·ios·https
周全全8 小时前
Spring Boot + Vue 基于 RSA 的用户身份认证加密机制实现
java·vue.js·spring boot·安全·php
Mr.Pascal9 小时前
刚学php序列化/反序列化遇到的坑(攻防世界:Web_php_unserialize)
开发语言·安全·web安全·php