前言
對於xxe漏洞的認識一直都不是很清楚,而在我爲期不長的挖洞生涯中也沒有遇到過,因此就想着總結一下,撰寫此文以做爲記錄,加深本身對xxe漏洞的認識。javascript
xml基礎知識
要了解xxe漏洞,那麼必定得先明白基礎知識,瞭解xml文檔的基礎組成。php
XML用於標記電子文件使其具備結構性的標記語言,能夠用來標記數據、定義數據類型,是一種容許用戶對本身的標記語言進行定義的源語言。XML文檔結構包括XML聲明、DTD文檔類型定義(可選)、文檔元素html
xml文檔的構建模塊
全部的 XML 文檔(以及 HTML 文檔)均由如下簡單的構建模塊構成:java
- 元素
- 屬性
- 實體
- PCDATA
- CDATA
下面是每一個構建模塊的簡要描述。
1,元素
元素是 XML 以及 HTML 文檔的主要構建模塊,元素可包含文本、其餘元素或者是空的。
實例:web
<body>body text in between</body> <message>some message in between</message>
空的 HTML 元素的例子是 "hr"、"br" 以及 "img"。shell
2,屬性
屬性可提供有關元素的額外信息
實例:tomcat
<img src="computer.gif" />
3,實體
實體是用來定義普通文本的變量。實體引用是對實體的引用。服務器
4,PCDATA
PCDATA 的意思是被解析的字符數據(parsed character data)。
PCDATA 是會被解析器解析的文本。這些文本將被解析器檢查實體以及標記。post
5,CDATA
CDATA 的意思是字符數據(character data)。
CDATA 是不會被解析器解析的文本。網站
DTD(文檔類型定義)
DTD(文檔類型定義)的做用是定義 XML 文檔的合法構建模塊。
DTD 能夠在 XML 文檔內聲明,也能夠外部引用。
1,內部聲明:<!DOCTYPE 根元素 [元素聲明]> ex: <!DOCTYOE test any>
完整實例:
<?xml version="1.0"?> <!DOCTYPE note [ <!ELEMENT note (to,from,heading,body)> <!ELEMENT to (#PCDATA)> <!ELEMENT from (#PCDATA)> <!ELEMENT heading (#PCDATA)> <!ELEMENT body (#PCDATA)> ]> <note> <to>George</to> <from>John</from> <heading>Reminder</heading> <body>Don't forget the meeting!</body> </note>
2,外部聲明(引用外部DTD):<!DOCTYPE 根元素 SYSTEM "文件名"> ex:<!DOCTYPE test SYSTEM 'http://www.test.com/evil.dtd'>
完整實例:
<?xml version="1.0"?> <!DOCTYPE note SYSTEM "note.dtd"> <note> <to>George</to> <from>John</from> <heading>Reminder</heading> <body>Don't forget the meeting!</body> </note>
而note.dtd的內容爲:
<!ELEMENT note (to,from,heading,body)> <!ELEMENT to (#PCDATA)> <!ELEMENT from (#PCDATA)> <!ELEMENT heading (#PCDATA)> <!ELEMENT body (#PCDATA)>
DTD實體
DTD實體是用於定義引用普通文本或特殊字符的快捷方式的變量,能夠內部聲明或外部引用。
實體又分爲通常實體和參數實體
1,通常實體的聲明語法:<!ENTITY 實體名 "實體內容「>
引用實體的方式:&實體名;
2,參數實體只能在DTD中使用,參數實體的聲明格式: <!ENTITY % 實體名 "實體內容「>
引用實體的方式:%實體名;
1,內部實體聲明:<!ENTITY 實體名稱 "實體的值"> ex:<!ENTITY eviltest "eviltest">
完整實例:
<?xml version="1.0"?> <!DOCTYPE test [ <!ENTITY writer "Bill Gates"> <!ENTITY copyright "Copyright W3School.com.cn"> ]> <test>&writer;©right;</test>
2,外部實體聲明:<!ENTITY 實體名稱 SYSTEM "URI">
完整實例:
<?xml version="1.0"?> <!DOCTYPE test [ <!ENTITY writer SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd"> <!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd"> ]> <author>&writer;©right;</author>
在瞭解了基礎知識後,下面開始瞭解xml外部實體注入引起的問題。
XXE的攻擊與危害(XML External Entity)
1,何爲XXE?
答: xxe也就是xml外部實體注入。也就是上文中加粗的那一部分。
2,怎樣構建外部實體注入?
方式一:直接經過DTD外部實體聲明
XML內容
方式二:經過DTD文檔引入外部DTD文檔,再引入外部實體聲明
XML內容:
DTD文件內容:
方式三:經過DTD外部實體聲明引入外部實體聲明
好像有點拗口,其實意思就是先寫一個外部實體聲明,而後引用的是在攻擊者服務器上面的外部實體聲明
具體看例子,XML內容
dtd文件內容:
3,支持的協議有哪些?
不一樣程序支持的協議以下圖:
其中php支持的協議會更多一些,但須要必定的擴展支持。
4,產生哪些危害?
XXE危害1:讀取任意文件
該CASE是讀取/etc/passwd,有些XML解析庫支持列目錄,攻擊者經過列目錄、讀文件,獲取賬號密碼後進一步攻擊,如讀取tomcat-users.xml獲得賬號密碼後登陸tomcat的manager部署webshell。
另外,數據不回顯就沒有問題了嗎?以下圖,
不,能夠把數據發送到遠程服務器,
遠程evil.dtd文件內容以下:
觸發XXE攻擊後,服務器會把文件內容發送到攻擊者網站
XXE危害2:執行系統命令
該CASE是在安裝expect擴展的PHP環境裏執行系統命令,其餘協議也有可能能夠執行系統命令。
XXE危害3:探測內網端口
該CASE是探測192.168.1.1的80、81端口,經過返回的「Connection refused」能夠知道該81端口是closed的,而80端口是open的。
XXE危害4:攻擊內網網站
該CASE是攻擊內網struts2網站,遠程執行系統命令。
如何防護xxe攻擊
方案1、使用開發語言提供的禁用外部實體的方法
PHP:
libxml_disable_entity_loader(true); JAVA: DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false); Python: from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
方案2、過濾用戶提交的XML數據
關鍵詞:<!DOCTYPE和<!ENTITY,或者,SYSTEM和PUBLIC。
最後
經過本次對XXE的總結,認真瞭解了XML基礎知識,XXE的攻擊方式與及防護方案。