XXE 漏洞简单研究

近期在做个基础的 web 常见漏洞的 ppt,主要参考 OWASP TOP 10 2017RC2,此版本中增加了 XXE 攻击,所以自己简单的研究下 XXE 攻击。XXE(XML External Entity)XML 外部实体,当前端和后端通信数据采用 xml,可传入 xml 外部实体,利用后端 xml 解析器漏洞,使 xml 解析器去访问攻击者指定的资源。首先需要了解一些 xml 的基础知识。

1.xml 基础知识

XML 用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML 文档结构包括 XML 声明、DTD 文档类型定义(可选)、文档元素。

XML 具有一些特性:

(1).XML 是一种标记语言,很类似 HTML

(2).XML 被设计用来传输和存储数据,而 HTML 被设计用来显示数据

(3).XML 标签没有被预定义,需要用户自行定义标签

(4).XML 具有自我描述性

XML 的语法规则:

(1).XML 必须有一个根元素

(2).XML 必须有关闭标签

(3).XML 标签对大小写敏感

(4).XML 元素必须正确的嵌套

(5).XML 属性值必须加引号

XML DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。它使用一系列的合法元素来定义文档结构。DTD 可以在 XML 文档内声明,也可以外部引用。

(1)内部声明:<!DOCTYPE 根元素 [元素声明]>,例如 <!DOCTYPE note aaa>

(2)外部声明:<!DOCTYPE 根元素 SYSTEM "文件名">,例如 <!DOCTYPE root SYSTEM "test.dtd">

DTD 实体声明:

(1)内部实体声明

<!ENTITY 实体名称 "实体的值">

示例:

<!DOCTYPE foo [

<!ELEMENT foo ANY> <!-- 声明元素 -->

<!ENTITY test "abcdefg"> <!-- 声明内部实体 -->

<!ENTITY xxe "Thinking"> <!-- 声明内部实体 -->

]>

<foo>&xxe;&test;</foo>

(2)外部实体声明

<!ENTITY 实体名称 SYSTEM "URI/URL">

外部实体声明支持的部分协议如下:

<!DOCTYPE foo [

<!ELEMENT foo ANY >

<!ENTITY xxe SYSTEM "file:///c:/windows/win.ini"> <!-- 声明外部实体 -->

]>

<foo>&xxe;</foo>

(3)参数实体声明

参数实体的引用只能在 DTD 中使用

<!ENTITY % 实体名 "实体内容">

<!ENTITY % 实体名 SYSTEM "URI">

详情见:http://www.w3school.com.cn/dtd/index.asp

2.XXE 攻击

xxe 主要利用 xml 解析器对外部实体的解析去触发攻击,从上面支持的协议列表可以看出,可利用 xxe 去进行命令执行、读取文件、内网探测端口、作为跳板机攻击内网机器等攻击,故危害巨大。

xxe 主要分为两种场景:有回显和无回显。有回显的场景中,可以直接查看到攻击执行的结果。无回显的场景下,只能通过其他手段查看攻击效果。这次主要实验了有回显的情况。

自己编写个简单的登录场景,登录的参数使用 xml 传输,后端对接收的 xml 参数进行解析,并且返回登录情况。制作个登录,当点击 "登录" 按钮时,使用 ajax 传输 xml 格式的登录信息,

传输的数据格式为:<login><username > 用户名 </username><password > 密码 </password></login>

后端使用 dom4j 去解析传入的 xml 参数,为了实现有回显的效果,我们将传入的 username 回传给前端,并在前端显示出来。

@Controller
@RequestMapping(value="api")
public class XXEController {
    /*
        <login>
            <username>aaa</username>
            <password>adfasds</password>
        </login>
    */
    @ResponseBody
    @RequestMapping(value="loginXml.json"/*,method= RequestMethod.POST*/)
    public AjaxResponse testXXE(String xml){
        AjaxResponse ajaxResponse = new AjaxResponse();
        try {
            
            Document document = DocumentHelper.parseText(xml);
            Element rootEle = document.getRootElement();
            String username = rootEle.elementTextTrim("username");
            //String password = rootEle.elementTextTrim("password");
            ajaxResponse.setCode(210);
            ajaxResponse.setMsg("登录失败");
            ajaxResponse.setContent(username);
        }catch (Exception e){
            e.printStackTrace();
            ajaxResponse.setCode(211);
            ajaxResponse.setMsg("数据处理失败");
        }
        
        return ajaxResponse;
    }
    
}

正常登陆时,传输的参数和回显效果如下:

xml=%3Clogin%3E%3Cusername%3Eadmin%3C%2Fusername%3E%3Cpassword%3Etest123%3C%2Fpassword%3E%3C%2Flogin%3E

使用 xxe 攻击时,攻击示例代码如下,此代码读取 c:/windows/win.ini 文件

<!DOCTYPE foo 
[<!ELEMENT foo ANY>
<!ENTITY abc SYSTEM "file:///c:/windows/win.ini">]>
<login><username>&abc;</username><password>fdsf</password></login>

修改参数和回显效果如下:

3. 防御措施

关于防御措施,第一种可以关闭 xml 解析器外部解析功能,第二种进行过滤,例如过滤掉!、DOCTYPE、SYSTEM、ENTITY 等关键字

尝试下第二种方案,过滤关键字。后端代码如下,将部分关键字过滤掉。

@Controller
@RequestMapping(value="api")
public class XXEController {
    /*
        <login>
            <username>aaa</username>
            <password>adfasds</password>
        </login>
    */
    @ResponseBody
    @RequestMapping(value="loginXml.json"/*,method= RequestMethod.POST*/)
    public AjaxResponse testXXE(String xml){
        AjaxResponse ajaxResponse = new AjaxResponse();
        try {
            
            //过滤部分关键字,防止XXE
            String newXml = xml.replace("!","")
                    .replace("DOCTYPE","")
                    .replace("ELEMENT","")
                    .replace("ENTITY","");
            
            Document document = DocumentHelper.parseText(newXml);
            Element rootEle = document.getRootElement();
            String username = rootEle.elementTextTrim("username");
            //String password = rootEle.elementTextTrim("password");
            ajaxResponse.setCode(210);
            ajaxResponse.setMsg("登录失败");
            ajaxResponse.setContent(username);
        }catch (Exception e){
            e.printStackTrace();
            ajaxResponse.setCode(211);
            ajaxResponse.setMsg("数据处理失败");
        }
        
        return ajaxResponse;
    }
    
}

可以看到,将关键字过滤(替换成 ""),会导致传入的数据不符合 xml 的格式,后端在 xml 解析器在解析数据时,直接出错并跳转到异常处理代码段,证明这样过滤是有效的。以上为一次简单的研究 xxe,后续有待深入研究。

相关推荐
dal118网工任子仪2 小时前
web安全漏洞之命令注入
笔记·学习·安全·web安全·网络安全
newxtc2 小时前
【月之暗面kimi-注册/登录安全分析报告】
安全·极验·月之暗面·kimi智能助手
生活的高手☆2 小时前
网络安全之信息收集
网络·安全
小黑子不会打篮球2 小时前
记一次文件包含刷题(伪协议篇)
网络协议·学习·web安全
dot.Net安全矩阵4 小时前
.NET 黑名单上传 突破WAF防护的SoapShell (免杀版)
服务器·网络·学习·安全·web安全·.net
Expl0it_9 小时前
Codeql 处理 yaml 配置文件
web安全·代码审计·codeql·codeql database
Wh1teR0se11 小时前
反射型XSS--理论
web安全·网络安全·xss
Wh1teR0se11 小时前
ctfshow(316,317,318)--XSS漏洞--反射性XSS
web安全·xss
域智盾系统14 小时前
揭秘|单位上网行为监控违法吗?能监控到什么程度?一文知晓全部
网络·安全·web安全·单位上网行为监控违法·上网行为监控