pikachu靶场___XXE漏洞教程

pikachu靶场___XXE漏洞教程

XXE（XML External Entity Injection）即xml外部实体注入

当程序在解析XML输入时，允许引用外部实体，导致能够引用一个外部恶意文件，可导致执行系统命令、内网端口探测、文件读取，攻击内网服务、dos攻击等。以下用pikachu漏洞靶场进行读取文件的演示。
  pikachu靶场下载地址：
  https://github.com/zhuifengshaonianhanlu/pikachu
  
  靶场搭建：
  1、在Windows平台使用phpstudy

 2、在C盘下，新建一个ip.txt文档。用于后面xxe注入获取该文档。
 
3、将下载好的https://github.com/zhuifengshaonianhanlu/pikachu源代码复制到该路径下：

XXE注入教程开始：
1、使用本地浏览器打开pikachu靶场

2、构造payload

]>
&hacker;

3、在输入框里把第二步的payload代码输入在方框里

点击提交后，它将我们定义的实体内容打印在了前端

如果我们提交下面这样的payload，就能看到服务器上的文件内容

]>
&f;

结束。

Xxe漏洞利用

任意文件读取
探测内网地址
通过DTD窃取文件
远程代码执行

Xxe漏洞防御
1、使用开发语言提供的禁用外部实体的方法

1.PHP：

libxml_disable_entity_loader(true);

2.JAVA:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);

3.Python：

from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

2、过滤用户提交的XML数据

过滤关键词：

XXE基础知识
XXE，“xml external entity injection”，即"xml外部实体注入漏洞"。
攻击者通过向服务器注入指定的xml实体内容，从而让服务器按照指定的配置进行执行，导致问题
也就是说服务端接收和解析了来自用户端的xml数据，而又没有做严格的安全控制，从而导致xml外部实体注入。

具体的关于xml实体的介绍，可以在网上先查一下。XML语法结构大致如下：

第一部分：XML声明部分


第二部分：文档类型定义 DTD



]>

第三部分：文档元素

Dave
Tom
Reminder
You are a good man

其中，DTD（Document Type Definition，文档类型定义），用来为 XML 文档定义语法约束，可以是内部申明也可以使引用外部DTD现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的，从而也就直接避免了这个漏洞。

① 内部申明DTD格式
<!DOCTYPE 根元素 [元素申明]>

② 外部引用DTD格式
<!DOCTYPE 根元素 SYSTEM "外部DTD的URI">

③ 引用公共DTD格式
<!DOCTYPE 根元素 PUBLIC "DTD标识名" "公共DTD的URI">

外部实体引用 Payload

<?xml version="1.0"?>

<!DOCTYPE ANY[ 
<!ENTITY f SYSTEM "file:///etc/passwd">
]>

<x>&f;</x>