利用XXE漏洞读取文件

利用XXE漏洞读取文件

参考文献两篇:
https://www.anquanke.com/post/id/155328
https://www.anquanke.com/post/id/156227

XEE语法:

XML声明

  

encodeing是指使用的字符编码格式有UTF-8,GBK,gb2312等等,可用于bypass

XML实体

外部实体分SYSYTEM及PUBLIC两种:
SYSYTEM引用本地计算机,PUBLIC引用公共计算机,外部实体格式如下:


DOCTYPE声明

在XML文档中,声明跟在XML声明的后面。实体也必须在DOCTYPE声明中声明。
例如



]>

实体引用

引用方式分为一般实体引用和参数实体引用。

一般实体引用: &实体引用名;
参数实体引用: %实体引用名;

完整格式



  
]>

   &sky2; 
  
  &sky2;
  

XEE安全隐患:

在解析Xml时,如果攻击者可以控制xml格式的文本内容,就可以让编译语言/脚本语言接收到恶意构造的参数,若不加过滤,则会引起安全隐患。

libxml2是用于解析xml的库,在2.6版本之前,默认允许引用外部实体(开启LIBXML_NOENT),可能导致xxe任意文件读取和BlindXXE文件读取攻击。

XXE任意文件读取

当xml解析内容有输出时,可以使用该攻击方法。
测试exp:



]>
&f;

此处将本地计算机中file:///etc/passwd文件的内容取出,赋值给了实体f
然后实体f的值作为元素x中的字符串数据被php解析的时候取出,作为对象里的内容
然后再输出该对象的时候被打印出来。

XXE任意文件盲读取

当XXE解析无输出时,尝试Blind XXE攻击:
1.我们可以利用file协议去读取本地文件
2.我们可以利用http协议让实体被带出

测试exp分为两部分:
post.xml




%remote;
%all;
]>
&send;

evil.xml

">

这样一来,在解析xml的时候:
1.file实体被赋予file:///etc/passwd的内容
2.解析remote值的时候,访问http://vps_ip/evil.xml
3.在解析evil.xml中all实体的时候,将file实体带入
4.访问指定url链接,将数据带出
于是成功造成了blind xxe文件读取

关键词过滤Bypass

例如,当ENTITY等被过滤,那么我们可以尝试使用utf-7等其他编码方式。
首先利用该网站

https://www.motobit.com/util/charset-codepage-conversion.asp

将payload


]>
&f;

转为utf-7,并在声明中指定utf-7编码


+ADwAIQ-DOCTYPE ANY +AFs-
    +ADwAIQ-ENTITY f SYSTEM +ACI-file:///etc/passwd+ACIAPg-
+AF0APg-
+ADw-x+AD4AJg-f+ADsAPA-/x+AD4-

XXE文件包含

当libxml2版本高于2.6时,默认无法引用外部实体。可尝试XXE文件包含攻击。



  

另外,xml用于数据存储时,将其当作是数据库,可能存在Xpath注入、Xpath盲注、代码注入等攻击方式。

你可能感兴趣的:(利用XXE漏洞读取文件)