XML外部实体注入（XEE）的原理和应用

XXE注入

XXE注入全称是xml external entity 注入，也就是xml外部实体注入。XXE漏洞发生在应用程序解析输入的XML时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取，命令执行等攻击。

一、XML简介

XML是一种用户自定义的标记语言，主要用于数据的存储和传输。XML文档有自己的一个格式规范。是由DTD（document type define)来控制的。例如：

 
<!DOCTYPE message [ 
<!ELEMENT password(#PCDATA)>
]>

上面的DTD就定义了XML的根元素为message,然后根元素下面有一些子元素，后面的XML就要像如下的方式来书写。

<message>
    <username>rootusername>
    <password>123password>
message>

二、XML实体

上面的中定义的是元素，也就是定义了对应XML中的标签。还可以在DTD中定义XML实体。XML实体可以看作一个变量，到时候可以在XML中通过&符号来引用。

XML可分为外部实体和内部实体。首先来看内部实体：
示例：

<!ENTITY tst "test">
]>

其中元素定义的ANY说明接受任何元素，同时定义了一个xml实体（标签），这样就可以在XML文档中这样来写

<message>
<user>&tst;user>
message>

外部实体
示例：

]>
<message>
    <user>&xxe;user>
message>

这里用 &实体名; 引用实体，在DTD中定义，在XML文档中引用。

通过上面的总结我们知道可以将实体分为外部实体和内部实体。但是实际上从另一个角度来开，还可以分为通用实体和参数实体。

1.通用实体:

用 &实体名; 引用的实体，他在DTD 中定义，在 XML 文档中引用

示例：

]
<Profile>
 <msg>&file;msg>
Profile>

2.参数实体

(1)使用 % 实体名(这里面空格不能少) 在 DTD 中定义，并且只能在 DTD 中使用 %实体名; 引用
(2)只有在 DTD 文件中，参数实体的声明才能引用其他实体
(3)和通用实体一样，参数实体也可以外部引用

示例：

<!ENTITY % an-element " mytag (subtag)>"> 
 
%an-element; %remote-dtd;

三、CTF中XEE攻击

1.题目地址：Jarvis http://web.jarvisoj.com:32794/

打开链接，输入数据后抓包：

发现传的是JSON数据，考虑修改一下上传文件类型为XML类型。构造外部实体，实现XXE攻击。将ContentType字段改为:application/xml,然后在请求内容中加上如下的payload:

]>
<message>&shell;message>

发现了/home/ctf路径。改一下file的路径：file:///home/ctf/flag.txt。即可得到flag

2.题目地址：https://buuoj.cn/challenges (Fake XML cookbook)

抓包后，发现上传的是XML类型的数据

直接构造XML外部实体，读flag。payload如下：

]>
<user><username>&admin;username><password>passwdpassword>user>

参考文章
https://xz.aliyun.com/t/3357
https://www.freebuf.com/vuls/175451.html