XXE学习


title: XXE学习
date: 2019-03-22 20:51:41
tags:
- XXE
categories:
- Web安全
- XXE


前言

本来是想了解一下SSRF的,结果找到讲bWapp的SSRF的博客,里面有一个关于XXE的SSRF,索性就先把XXE看一下。
参考链接:

  1. XXE前置知识
  2. bWapp之XXE

XXE和XML、DTD

先分别说一下这三个词的概念吧

XXE

XXE全称XML External Entity Injection,也就是XML外部实体注入攻击,是对非安全的外部实体数据进行处理时引发的安全问题。要想搞懂XXE,肯定要先了解XML语法规则和外部实体的定义及调用形式。

DTD

DTD全称Document Type Definition 即文档类型定义,用来为XML文档定义语义约束。可以嵌入在XML文档中(内部声明),也可以独立的放在一个文件中(外部引用),由于其支持的数据类型有限,无法对元素或属性的内容进行详细规范,在可读性和可扩展性方面也比不上XML Schema。

XML

XML 指可扩展标记语言,被设计用来传输和存储数据。

学习链接

关于XML跟DTD的语法规则,我也是才看,还是不多说了,直接给教程链接吧。其中DTD的实体声明重点
XML教程
DTD教程


基本Payload结构

  //xml声明
       //元素类型声明
    
]>                       //实体声明里的外部实体声明
&xee;       //XML部分

DTD实体声明

上述Payload分析

稍微对linux有点了解的,看到上面的Payload结构中的DTD部分外部实体声明即这一句就应该猜到这个Payload的作用了吧。
没错,这个Payload的作用是输出目标服务器(服务器若为Linux)的passwd文件。
那如果想用XXE漏洞进行一些别的操作,如:内网探测、内网入侵该怎么办呢?
那就要讲到DTD实体声明了。

实体声明又分为内部实体声明、外部实体声明、参数实体声明等。这里就只讲外部实体声明、参数实体声明吧

DTD外部实体声明

DTD外部实体声明语法:
引用方式: &实体名

外部引用可支持http,file等协议,不同的语言支持的协议不同,但存在一些通用的协议,具体内容如下图所示:


XXE学习_第1张图片
image

示例:



]>
&xxe;

DTD参数实体声明

语法:
引用方式:%实体名
示例:



%xxe;]>
&evil;

外部evil.dtd内容为:


XXE的利用方式-DTD

XXE作用

利用xxe漏洞可以进行拒绝服务攻击,文件读取,命令(代码)执行,SQL(XSS)注入,内外扫描端口,入侵内网站点等,内网探测和入侵是利用xxe中支持的协议http等进行内网主机和端口发现,可以理解是使用xxe进行SSRF的利用,基本上啥都能做了

XXE分类

一般xxe利用分为两大场景:有回显和无回显。有回显的情况可以直接在页面中看到Payload的执行结果或现象,无回显的情况又称为blind xxe,可以使用外带数据通道提取数据。

有回显情况

有回显的情况可以使用如下的两种方式进行XXE注入攻击,也就是上面讲到的DTD外部实体声明和参数实体声明。
方式一:



]>
&xxe;

方式二:



%xxe;
]>
&evil;

外部evil.dtd内容为:

无回显情况

可以使用外带数据通道提取数据,先使用php://filter获取目标文件的内容,然后将内容以http请求发送到接受数据的服务器(攻击服务器)xxx.xxx.xxx。



%dtd;
%send;
]>

evil.dtd的内容,内部的%号要进行实体编码成%。
注意此处的参数实体声明语法格式是:

"
>
%all;

这里执行完查看结果分两种情况:

  1. 有报错
    有报错信息的话,直接查看错误信息有没有目标文件源码的base64
  2. 没有报错
    没有报错的话,查看被发送机(自己的主机且具有公网IP)的访问日志。

还有bWapp中的xxe利用,待更···


2019/03/27 更

bWapp里的XXE实验

0x01 进入bWapp,选择XXE漏洞环境

  1. 打开bWapp虚拟机,未安装参考BWAPP:一款非常好用的漏洞演示平台进行安装
  2. 使用账户:bee 密码:bug进行登录,并选择安全级别为low
  3. 登录后选择XXE漏洞环境,点击hack


    XXE学习_第2张图片
    image
  4. 成功进入到XXE漏洞环境


    XXE学习_第3张图片
    image

0x02 抓包分析

  1. 打开Burp,设置好浏览器代理,点击Any bugs?,查看抓包结果


    XXE学习_第4张图片
    image
  2. 对抓包结果分析,如上图所划线处,可以看到xxe-1.php页面以POST方式向xxe-2.php提交xml数据

0x03 构造payloads

payload:



]>

&xxe;
Any Bugs?

0x04 使用Burp repeater提交payloads

XXE学习_第5张图片
image

0x05 源码分析

  1. 先放源码:
login;
    $secret = $xml->secret;

    if($login && $login != "" && $secret)
    {

        // $login = mysqli_real_escape_string($link, $login);
        // $secret = mysqli_real_escape_string($link, $secret);
        
        $sql = "UPDATE users SET secret = '" . $secret . "' WHERE login = '" . $login . "'";

        // Debugging
        // echo $sql;      

        $recordset = $link->query($sql);

        if(!$recordset)
        {

            die("Connect Error: " . $link->error);

        }

        $message = $login . "'s secret has been reset!";

    }

    else
    {

        $message = "An error occured!";

    }

}

// If the security level is MEDIUM or HIGH
else
{

    // Disables XML external entities. Doesn't work with older PHP versions!
    // libxml_disable_entity_loader(true);
    $xml = simplexml_load_string($body);
    
    // Debugging
    // print_r($xml);

    $login = $_SESSION["login"];
    $secret = $xml->secret;

    if($secret)
    {

        $secret = mysqli_real_escape_string($link, $secret);

        $sql = "UPDATE users SET secret = '" . $secret . "' WHERE login = '" . $login . "'";

        // Debugging
        // echo $sql;      

        $recordset = $link->query($sql);

        if(!$recordset)
        {

            die("Connect Error: " . $link->error);

        }

        $message = $login . "'s secret has been reset!";

    }

    else
    {

        $message = "An error occured!"; 

    }

}

echo $message;

$link->close();

?>
  1. 如下图,若安全级别为low的话,就从xml传输的数据中取出值来赋给login
XXE学习_第6张图片
image
  1. login再拼接成message


    XXE学习_第7张图片
    image
  2. message直接输出,所以存在XXE漏洞,利用login进行我们想要的操作并回显


    XXE学习_第8张图片
    image
  3. 在源码中也能看到,对于中高级别,login从Session中获取,secret从xml获取后也用 mysqli_real_escape_string函数进行了特殊字符转义。


总结

本来还想写一下jarvis oj上一个xxe的例子,后面想想还是留到后面写刷jarvis题目的时候在写吧。XXE就学到这里吧(更深的现在也找不到例子学不来,2333,以后再深入吧),过几天把SSRF简单学习总结一下。

你可能感兴趣的:(XXE学习)