XXE总结
一、XXE 是什么
XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是XML外部实体,如果能注入外部实体并且成功解析的话,这就会大大拓宽我们 XML 注入的攻击面。
二、背景知识:
XML是一种非常流行的标记语言,在1990年代后期首次标准化,并被无数的软件项目所采用。它用于配置文件,文档格式(如OOXML,ODF,PDF,RSS,…),图像格式(SVG,EXIF标题)和网络协议(WebDAV,CalDAV,XMLRPC,SOAP,XMPP,SAML, XACML,…),他应用的如此的普遍以至于他出现的任何问题都会带来灾难性的结果。
在解析外部实体的过程中,XML解析器可以根据URL中指定的方案(协议)来查询各种网络协议和服务(DNS,FTP,HTTP,SMB等)。 外部实体对于在文档中创建动态引用非常有用,这样对引用资源所做的任何更改都会在文档中自动更新。 但是,在处理外部实体时,可以针对应用程序启动许多攻击。 这些攻击包括泄露本地系统文件,这些文件可能包含密码和私人用户数据等敏感数据,或利用各种方案的网络访问功能来操纵内部应用程序。 通过将这些攻击与其他实现缺陷相结合,这些攻击的范围可以扩展到客户端内存损坏,任意代码执行,甚至服务中断,具体取决于这些攻击的上下文。
其于HTML的区别是:
- HTML 被设计用来显示数据
- XML 被设计用来传输和存储数据
XML文档结构包括:
- XML声明
- DTD文档类型定义(可选)
- 文档元素
三、基础知识
1.典型的xml文档
]>
&xxe;
2.DTD概念及声明、引用方式
DTD:Document Type Definition 即文档类型定义,用来为XML文档定义语义约束。可以嵌入在XML文档中(内部声明),也可以独立的放在一个文件中(外部引用),由于其支持的数据类型有限,无法对元素或属性的内容进行详细规范,在可读性和可扩展性方面也比不上XML Schema。
DTD一般认为有两种引用或声明方式:
- 1、内部DTD:即对XML文档中的元素、属性和实体的DTD的声明都在XML文档中。
- 2、外部DTD:即对XML文档中的元素、属性和实体的DTD的声明都在一个独立的DTD文件(.dtd)中。
DTD实体有以下几种声明方式
内部实体
]>
&b
输出结果:
内部参数实体
[
">
%b;
]>
&b1
输出结果:
- 参数实体用
% name申明,引用时用%name;,只能在DTD中申明,DTD中引用。 - 其余实体直接用
name申明,引用时用&name;,只能在DTD中申明,可在xml文档中引用
外部实体
[
]>
&b
输出结果:
外部参数实体
[
%b;
]>
&b1
输出结果:
四、XXE的应用
1.任意文件读取
一般xxe利用分为两大场景:有回显和无回显。有回显的情况可以直接在页面中看到Payload的执行结果或现象,无回显的情况又称为Blind XXE,可以使用外带数据通道提取数据。
有回显
恶意引入外部实体
直接读靶机文件
]>
&xxe; 1234 恶意引入外部参数实体
%file;
]>
&hack;
无回显
OOB
先使用php://filter获取目标文件的内容,然后将内容以http请求发送到接受数据的服务器(攻击服务器)xxx.xxx.xxx。
%dtd;
%send;
]>
PS:内部的%号要进行实体编码成%。
"
>
%all;
访问接受数据的服务器中的日志信息,可以看到经过base64编码过的数据,解码后便可以得到数据。
基于报错
基于报错的原理和OOB类似,OOB通过构造一个带外的url将数据带出,而基于报错是构造一个错误的url并将泄露文件内容放在url中,通过这样的方式返回数据,所以和OOB的构造方式几乎只有url出不同,其他地方相同。
通过引入服务器文件
%remote;
%send;
]>
1234
">
%start;
通过引入本地文件
如果目标主机的防火墙十分严格,不允许我们请求外网服务器dtd呢?由于XML的广泛使用,其实在各个系统中已经存在了部分DTD文件。按照上面的理论,我们只要是从外部引入DTD文件,并在其中定义一些实体内容就行。
">
%eval;
%send;
'>
%remote;
]>
1234
第一个调用的参数实体是%remote,在/usr/share/yelp/dtd/docbookx.dtd文件中调用了%ISOamso;,在ISOamso定义的实体中相继调用了eval、和send
嵌套参数实体
虽然W3C协议是不允许在内部的实体声明中引用参数实体,但是很多XML解析器并没有很好的执行这个检查。几乎所有XML解析器能够发现如下这种两层嵌套式
">
%start;
%send;
]>
1234
基于报错的三层嵌套参数实体XXE
">
%para2;
'>
%para;
]>
1234
2.内网探测
和读文件差不多,只不过把URI改成内网机器地址
]>
&xxe; 1234 3.RCE
这种情况很少发生,但有些情况下攻击者能够通过XXE执行代码,这主要是由于配置不当/开发内部应用导致的。如果我们足够幸运,并且PHP expect模块被加载到了易受攻击的系统或处理XML的内部应用程序上,那么我们就可以执行如下的命令:
以下代码将尝试与端口8080通信,根据响应时间/长度,攻击者将可以判断该端口是否已被开启
]>
John, Doe
I love XML
Computers
9.99
2021-10-01
&xxe;
响应:
{"error": "no results for description uid=0(root) gid=0(root) groups=0(root)...
4.DOS攻击
]>
&lol9;
此测试可以在内存中将小型 XML 文档扩展到超过 3GB 而使服务器崩溃。
如果目标是UNIX系统,
]>
&xxe;
如果 XML 解析器尝试使用/dev/random文件中的内容来替代实体,则此示例会使服务器(使用 UNIX 系统)崩溃。
五、XXE绕过
1.大小写绕过
利用政策匹配不严格,大小写绕过
2.ENTITY、SYSTEM、file等关键词被过滤
使用编码方式绕过:UTF-16BE
cat payload.xml | iconv -f utf-8 -t utf-16be > payload.8-16be.xml
3.html实体编码绕过
如果过滤了http等协议,可以利用实体编码绕过:
" >
%a;
]>
&b;
4.data://协议绕过
">
%a;
%b;
]>
&b;
5.file://协议加文件上传
%a;
]>
6.php://filter协议加文件上传
%a;
]>
&hack;
%a;
]>
&hack;
(的base64加密)
PCFFTlRJVFkgaGhoIFNZU1RFTSAncGhwOi8vZmlsdGVyL3JlYWQ9Y29udmVydC5iYXNlNjQtZW5jb2RlL3Jlc291cmNlPS4vZmxhZy5waHAnPg==
六、利用场景
1.svg
]>
tips:从当前文件夹读取文件可以使用/proc/self/cwd
2.excel
首先用excel创建一个空白的xlsx,然后解压
mkdir XXE && cd XXE
unzip ../XXE.xlsx
将[Content_Types].xml改成恶意xml,再压缩回去
zip -r ../poc.xlsx *
七、CTF须知
在ctf比赛中常访问的文件地址:
]>
&b;
]>
&b;
flag在没有提示时通常在根目录下,通过file:///来读取,通常为flag、flag.txt、flah.php文件
]>
&b;
参考:
Blind XXE 详解 + Google CTF 一道题目分析
CTF XXE
xxe笔记
一篇文章带你深入理解漏洞之 XXE 漏洞
XXE萌新进阶全攻略
XXE漏洞利用技巧:从XML到远程代码执行
绕过WAF保护的XXE
利用EXCEL进行XXE攻击