利用XXE漏洞读取文件

利用XXE漏洞读取文件

参考文献两篇：
https://www.anquanke.com/post/id/155328
https://www.anquanke.com/post/id/156227

XEE语法：

XML声明

encodeing是指使用的字符编码格式有UTF-8,GBK,gb2312等等,可用于bypass

XML实体

外部实体分SYSYTEM及PUBLIC两种：
SYSYTEM引用本地计算机，PUBLIC引用公共计算机，外部实体格式如下：

DOCTYPE声明

在XML文档中，声明跟在XML声明的后面。实体也必须在DOCTYPE声明中声明。
例如

]>

实体引用

引用方式分为一般实体引用和参数实体引用。

一般实体引用： &实体引用名;
参数实体引用： %实体引用名;

完整格式

  
]>

  
  
  &sky2;
  

XEE安全隐患：

在解析Xml时，如果攻击者可以控制xml格式的文本内容，就可以让编译语言/脚本语言接收到恶意构造的参数，若不加过滤，则会引起安全隐患。

libxml2是用于解析xml的库，在2.6版本之前，默认允许引用外部实体(开启LIBXML_NOENT)，可能导致xxe任意文件读取和BlindXXE文件读取攻击。

XXE任意文件读取

当xml解析内容有输出时，可以使用该攻击方法。
测试exp：

]>
&f;

此处将本地计算机中file:///etc/passwd文件的内容取出，赋值给了实体f
然后实体f的值作为元素x中的字符串数据被php解析的时候取出，作为对象里的内容
然后再输出该对象的时候被打印出来。

XXE任意文件盲读取

当XXE解析无输出时，尝试Blind XXE攻击：
1.我们可以利用file协议去读取本地文件
2.我们可以利用http协议让实体被带出

测试exp分为两部分：
post.xml

%remote;
%all;
]>
&send;

evil.xml

">

这样一来，在解析xml的时候：
1.file实体被赋予file:///etc/passwd的内容
2.解析remote值的时候，访问http://vps_ip/evil.xml
3.在解析evil.xml中all实体的时候，将file实体带入
4.访问指定url链接，将数据带出
于是成功造成了blind xxe文件读取

关键词过滤Bypass

例如，当ENTITY等被过滤，那么我们可以尝试使用utf-7等其他编码方式。
首先利用该网站

https://www.motobit.com/util/charset-codepage-conversion.asp

将payload

]>
&f;

转为utf-7，并在声明中指定utf-7编码

+ADwAIQ-DOCTYPE ANY +AFs-
    +ADwAIQ-ENTITY f SYSTEM +ACI-file:///etc/passwd+ACIAPg-
+AF0APg-
+ADw-x+AD4AJg-f+ADsAPA-/x+AD4-

XXE文件包含

当libxml2版本高于2.6时，默认无法引用外部实体。可尝试XXE文件包含攻击。

另外，xml用于数据存储时，将其当作是数据库，可能存在Xpath注入、Xpath盲注、代码注入等攻击方式。