一、概述:
XXE -"xml external entity injection"
既"xml外部实体注入漏洞"。
概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"
也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。
具体的关于xml实体的介绍,网络上有很多,自己动手先查一下。
现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。
以PHP为例,在PHP里面解析xml用的是libxml,其在≥2.9.0的版本中,默认是禁止解析xml外部实体内容的。
xml是一种可拓展的标记语言,可以用来存储数据,例如:我们经常看到一些.xml的文件;它还可以用来传输数据,我们可以直接将数据以xml的格式放在请求当中,发给服务器。
第一部分:XML声明部分
第二部分:文档类型定义 DTD
]]]>
第三部分:文档元素
Dave
Tom
Reminder
You are a good man
DTD(Document Type Definition,文档类型定义),用来为 XML 文档定义语法约束,可以是内部申明也可以使引用外部.
DTD现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。
内部申明DTD格式
外部引用DTD格式
引用公共DTD格式
外部实体引用 Payload
]>
&f;
外部引用可以支持http,file,ftp等协议。
如果一个接口支持接收xm|数据,且没有对xml数据做任何安全上的措施,就可能导致XXE漏洞。
simplexml_load_string()
函数转换形式良好的XML 字符串为 SimpleXMLElement 对象。
二、操作
在pikachu的xxe漏洞框,这是通过前端用户提交给后台。
我们可以看一下后端源代码。它会通过POST请求,去获取前端的下xml数据,获取后就会传到simplexml_load_string()这个函数,如果PHP的版本大于2.9.0的话,这个函数是默认禁止的,但在这里,他为了制造一个漏洞,就通过LIBXML_NOENT这个函数开启了外部实体来构造XXE漏洞。也就是说,在这个漏洞中,把xml数据传给simplexml_load_string(),这个函数就会对数据的外部实体内容进行解析,然后再返回给前端。
当输入正确的payload时,提交后,可以看到前端返回了我们在xml中的DTD定义变量的值
]>
&hacker;
如果我们输入恶意的payload,通过外部实体引用从而去获取后台服务器的本地文件信息。(外部引用可以支持http,file,ftp等协议)
]>
&f;
总结漏洞产生原因:实际上是因为后端在接收xml数据时,开启了外部实体解析,而且也没对传来的数据做任何的过滤等安全措施,因此导致产生漏洞。