XXE漏洞浅析

Xor0ne

XXE漏洞浅析

来自于公众号：计算机与网络安全

原文链接：https://mp.weixin.qq.com/s?__biz=MjM5OTk4MDE2MA==&mid=2655141188&idx=2&sn=5429c12e04b92628d9f4011848ba4b66&chksm=bc85a0ab8bf229bdbd1bf61360825eb9b918b99d072b745a36172a1b99cef52fae25ac11291f&mpshare=1&scene=23&srcid=0824giotMmgZW3krs0VhsFTh&sharer_sharetime=1598263169619&sharer_shareid=ff83fe2fe7db7fcd8a1fcbc183d841c4#rd

一次性付费进群，长期免费索取教程，没有付费教程。

进微信群回复公众号：微信群；QQ群：460500587

教程列表 见微信公众号底部菜单 | 本文底部有推荐书籍

​

微信公众号：计算机与网络安全

ID：Computer-network

XML外部实体注入（XML External Entity）简称XXE漏洞，XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。

常见的XML语法结构如图1所示。

​

图1  XML语法结构

其中，文档类型定义（DTD）可以是内部声明也可以引用外部DTD，如下所示。

内部声明DTD格式：<!DOCTYPE 根元素[元素声明]>。

引用外部DTD格式：<!DOCTYPE 根元素 SYSTEM"文件名">。

在DTD中进行实体声明时，将使用ENTITY关键字来声明。实体是用于定义引用普通文本或特殊字符的快捷方式的变量。实体可在内部或外部进行声明。

内部声明实体格式：<!ENTITY 实体名称 "实体的值">。

引用外部实体格式：<!ENTITY 实体名称 SYSTEM"URI">。

1、XXE漏洞攻击

XXE 漏洞攻击的测试地址：http://127.0.0.1/1.php。

HTTP请求的POST参数如下所示。

​

在POST参数中，关键语句为“file///C:/windows/win.ini”，该语句的作用是通过file协议读取本地文件C:/windows/win.ini，如图2所示。

​

图2  读取文件

2、XXE漏洞代码分析

服务端处理XML的代码如下，代码的实现过程如下所示。

​

使用file_get_contents获取客户端输入的内容。

使用new DOMDocument（）初始化XML解析器。

使用loadXML（$xmlfile）加载客户端输入的XML内容。

使用simplexml_import_dom（$dom）获取XML文档节点，如果成功则返回SimpleXMLElement对象，如果失败则返回FALSE。

获取SimpleXMLElement对象中的节点XXE，然后输出XXE的内容。

可以看到，代码中没有限制XML引入外部实体，所以当我们创建一个包含外部实体的XML时，外部实体的内容就会被执行。

3、XXE漏洞修复建议

针对XXE漏洞的修复，给出以下两点建议。

● 禁止使用外部实体，例如libxml_disable_entity_loader（true）。

● 过滤用户提交的XML数据，防止出现非法内容。