XXE漏洞的根源在于XML解析器对文档内容(特别是文档类型定义DTD部分)的过度信任和错误配置。要理解XXE,这里必须理清几个概念:
1.XML (eXtensible Markup Language) :一种用于编码数据的标记语言,其核心是自我描述性。它被广泛用于配置文件(如Spring、Java EE)、Web服务(SOAP、RESTful API中传输数据)、文档格式(Office Open XML)等。
2.DTD (Document Type Definition) :一种用于定义XML文档结构和合法元素的 schema 语言。它是XXE的"风暴中心"。
3.内部实体声明 :<!ENTITY entity_name "entity_value">。例如,<!ENTITY company "Acme Inc.">,之后在XML中使用 &company; 会被解析为 "Acme Inc."。
4.外部实体声明 :<!ENTITY entity_name SYSTEM "URI">。这是XXE的关键。SYSTEM 关键字告诉解析器从指定的URI(可以是文件路径、URL等)获取实体值。例如:<!ENTITY secret SYSTEM "file:///etc/passwd">。
5.XML解析器与模式:解析器(如Java的DOM4J、SAXParser,.NET的XmlDocument,Python的lxml.xml)是读取和处理XML的库。其行为由其配置选项决定,这些选项控制着是否加载外部资源、是否执行DTD等。
XXE漏洞的本质:当攻击者能够向应用程序提交恶意的XML文档,并且该应用程序使用的XML解析器被配置为允许处理外部实体时,攻击者通过在DTD中构造恶意的外部实体声明,就能诱使解析器执行非预期的操作。
一个存在XXE漏洞的端点,根据解析器的配置、应用程序的权限以及网络环境,可能导致多种严重后果:
1.敏感文件读取:这是最常见的利用方式。通过构造指向本地文件的外部实体(如 file:///etc/passwd, c:\windows\system32\drivers\etc\hosts),攻击者可以读取服务器上的任意文件。读取数据库配置文件、SSH私钥、Shadow密码文件等可能导致服务器完全失陷。
2.内部网络探测与SSRF:外部实体的URI可以指向内部网络资源(如 http://192.168.1.1/admin)或本地系统资源(http://localhost:8080)。解析器会尝试访问这些URL,其行为就像一个内网扫描器。通过观察响应时间或错误信息,攻击者可以探测内网端口和服务,从而实现服务端请求伪造(SSRF)。
3.拒绝服务攻击(DDoS):通过构造恶意的XML实体展开,可以消耗服务器大量内存和CPU资源,导致服务瘫痪。例如,著名的"亿笑(Billion Laughs)"攻击,通过嵌套的实体定义产生指数级的数据膨胀。
4.远程代码执行:在极罕见的环境下,如果目标系统上部署了某些陈旧的、配置危险的XML处理器(如启用了PHP的expect模块),理论上可能实现RCE。但现在的系统中,这已经不是什么主要威胁,测试重点一般放在前三点。