2. 程式人生 > >XXE漏洞攻防

XXE漏洞攻防

阿新 發佈:2017-05-03
內部 ref 一個 refused expec ebs 不同 c程序 data

一、XML基礎知識

XML用於標記電子文件使其具有結構性的標記語言,可以用來標記數據、定義數據類型,是一種允許用戶對自己的標記語言進行定義的源語言。XML文檔結構包括XML聲明、DTD文檔類型定義(可選)、文檔元素。

技術分享

DTD(文檔類型定義)的作用是定義 XML 文檔的合法構建模塊。DTD 可以在 XML 文檔內聲明,也可以外部引用。

內部聲明DTD

<!DOCTYPE 根元素 [元素聲明]>

引用外部DTD

<!DOCTYPE 根元素 SYSTEM "文件名">

或者

<!DOCTYPE 根元素 PUBLIC "public_ID" "文件名">

DTD實體是用於定義引用普通文本或特殊字符的快捷方式的變量,可以內部聲明或外部引用。

內部聲明實體

<!ENTITY 實體名稱 "實體的值">

引用外部實體

<!ENTITY 實體名稱 SYSTEM "URI">

或者

<!ENTITY 實體名稱 PUBLIC "public_ID" "URI">

二、XML外部實體註入(XML External Entity)

當允許引用外部實體時,通過構造惡意內容,可導致讀取任意文件、執行系統命令、探測內網端口、攻擊內網網站等危害。

引入外部實體方式有多種,比如:

惡意引入外部實體方式1:

XML內容:

技術分享

惡意引入外部實體方式2:

XML內容:

技術分享

DTD文件(evil.dtd)內容:

技術分享

惡意引入外部實體方式3:

XML內容:

技術分享

DTD文件(evil.dtd)內容:

技術分享

另外,不同程序支持的協議不一樣,

技術分享

上圖是默認支持協議,還可以支持其他,如PHP支持的擴展協議有

技術分享

以下舉例說明XXE危害,當然XXE不止這些危害。

XXE危害1:讀取任意文件

技術分享

技術分享

該CASE是讀取/etc/passwd,有些XML解析庫支持列目錄,攻擊者通過列目錄、讀文件,獲取帳號密碼後進一步攻擊,如讀取tomcat-users.xml得到帳號密碼後登錄tomcat的manager部署webshell。

另外,數據不回顯就沒有問題了嗎?如下圖,

技術分享

不,可以把數據發送到遠程服務器,

技術分享

遠程evil.dtd文件內容如下:

技術分享

觸發XXE攻擊後,服務器會把文件內容發送到攻擊者網站

技術分享

技術分享

XXE危害2:執行系統命令

技術分享

技術分享

該CASE是在安裝expect擴展的PHP環境裏執行系統命令,其他協議也有可能可以執行系統命令。

XXE危害3:探測內網端口

技術分享

技術分享

該CASE是探測192.168.1.1的80、81端口,通過返回的“Connection refused”可以知道該81端口是closed的,而80端口是open的。

XXE危害4:攻擊內網網站

技術分享

技術分享

該CASE是攻擊內網struts2網站,遠程執行系統命令。

三、客戶端XXE案例

日 前,某office文檔轉換軟件被爆存在XXE漏洞(PS:感謝TSRC平臺白帽子Titans`報告漏洞),某一應用場景為:Web程序調用該 office軟件來獲取office文檔內容後提供在線預覽。由於該軟件在處理office文檔時,讀取xml文件且允許引用外部實體,當用戶上傳惡意文 檔並預覽時觸發XXE攻擊。詳情如下:

新建一個正常文檔,內容為Hi TSRC,

技術分享

使用該軟件轉換後可以得到文本格式的文檔內容,

技術分享

技術分享

當往該docx的xml文件註入惡意代碼(引用外部實體)時,可進行XXE攻擊。

技術分享

技術分享

四、防禦XXE攻擊

方案一、使用開發語言提供的禁用外部實體的方法

PHP:

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();

dbf.setExpandEntityReferences(false);

Python:

from lxml import etree

xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

方案二、過濾用戶提交的XML數據


關鍵詞:<!DOCTYPE和<!ENTITY,或者,SYSTEM和PUBLIC。


【最後】


無論是WEB程序,還是PC程序,只要處理用戶可控的XML都可能存在危害極大的XXE漏洞,開發人員在處理XML時需謹慎,在用戶可控的XML數據裏禁止引用外部實體。


文中涉及到的代碼和技術細節,只限用於技術交流,切勿用於非法用途。歡迎探討交流,行文倉促,不足之處,敬請不吝批評指正。


【參考】

http://www.vsecurity.com/download/papers/XMLDTDEntityAttacks.pdf

http://2013.appsecusa.org/2013/wp-content/uploads/2013/12/WhatYouDidntKnowAboutXXEAttacks.pdf

https://www.owasp.org/images/5/5d/XML_Exteral_Entity_Attack.pdf

https://www.youtube.com/watch?v=j2cfebNEfic

原文地址:http://security.tencent.com/index.php/blog/msg/69

XXE漏洞攻防

相關推薦

XXE漏洞攻防

內部 ref 一個 refused expec ebs 不同 c程序 data 一、XML基礎知識 XML用於標記電子文件使其具有結構性的標記語言,可以用來標記數據、定義數據類型,是一種允許用戶對自己的標記語言進行定義的源語言。XML文檔結構包括XML聲明、DTD文檔類型定

[Web安全] XXE漏洞攻防學習(中)

div ESS passwd rem __name__ uri header requests 情況下 0x00、XXE漏洞攻擊實例 攻擊思路: 1. 引用外部實體遠程文件讀取 2. Blind XXE 3. Dos 0x01、外部實體引用,有回顯 實驗操作平臺:bWA

1016.XXE漏洞攻防學習

inf 方式 簡單 有關 xml解析 open factor 登錄 觸發 前言 對於xxe漏洞的認識一直都不是很清楚,而在我為期不長的挖洞生涯中也沒有遇到過,所以就想著總結一下,撰寫此文以作為記錄,加深自己對xxe漏洞的認識。 xml基礎知識 要了解xxe漏洞,那麽一定得

XXE漏洞

www 利用 ram simplex images file port note 加載xml文件 簡介 XXE (XML External Entity Injection) 漏洞發生在應用程序解析 XML 輸入時,沒有禁止外部實體的加載。 簡單的理解,一個實體就是一個

聽補天漏洞審核專家實戰講解XXE漏洞

實戰 加載 origin 課程 ext 小天 分享 java版 inline 對於將“挖洞”作為施展自身才幹、展現自身價值方式的白 帽 子來說,聽漏洞審核專家講如何挖掘並驗證漏洞,絕對不失為一種快速的成長方式! XXE Injection(XML External Enti

XXE漏洞攻擊與防禦

swe factor 參數 tor 類別 bash pin tps start 轉自https://www.jianshu.com/p/7325b2ef8fc9 0x01 XML基礎 在聊XXE之前,先說說相關的XML知識吧。 定義 XML用於標記電子文件使其具有結

實戰講解XXE漏洞的利用與防禦策略

gcd oam copyright 解析xml MQ 包括 實驗 將他 Coding 現在許多不同的客戶端技術都可以使用XMl向業務應用程序發送消息,為了使應用程序使用自定義的XML消息,應用程序必須先去解析XML文檔,並且檢查XML格式是否正確。當解析器允許XML外部實體

xxe漏洞

讀取 doc burpsuit AD 不能 inf use 實驗 log xxe漏洞就是能直接在請求裏可以引用一個實體,然後造成讀文件,只需要懂這個基本攻擊原理就行 先了解什麽是xxe xml外部實體註入簡稱xxe,註入的什麽呢 一段xml代碼 就是一個請求裏 可

微信支付SDK存在XXE漏洞

ssl hub host lse 格式 hash 商品 ext utf-8 微信支付SDK存在XXE漏洞 漏洞信息來源:http://seclists.org/fulldisclosure/2018/Jul/3https://xz.aliyun.com/t/2426 0x0

淺談XXE漏洞攻擊與防禦——本質上就是注入,盜取資料用

淺談XXE漏洞攻擊與防禦 from:https://thief.one/2017/06/20/1/ XML基礎 在介紹xxe漏洞前,先學習溫顧一下XML的基礎知識。XML被設計為傳輸和儲存資料,其焦點是資料的內容,其把資料從HTML分離,是獨立於軟體和硬體的資訊傳輸工具。 XML文件結

微信支付XXE漏洞修復解決辦法

@tz 根據微信官方回覆訊息: 1、您更新的只是官方SDK的部分程式碼,沒有完全更新,或者在SDK外還使用了XML的解析沒有防XXE 2、您可能有多個回撥地址,而你只修復了其中一個 3、您可能有多個伺服器,你只發布了其中一臺或者修改了沒有正式釋出 4、實際做xml解析的不

xxe漏洞的學習與利用總結

前言 對於xxe漏洞的認識一直都不是很清楚,而在我為期不長的挖洞生涯中也沒有遇到過,所以就想著總結一下,撰寫此文以作為記錄,加深自己對xxe漏洞的認識。 xml基礎知識 要了解xxe漏洞,那麼一定得先明白基礎知識,瞭解xml文件的基礎組成。 XML用於標記電子檔案使

微信支付XXE漏洞

1.場景還原    近日,微信發來警告通知,告知平臺微信支付可能存在XXE(外部實體注入漏洞),筆者根據微信官方技術文件及時修復了該漏洞,分享出來希望能夠對大夥有所幫助 2.原因分析   所謂的外部實體注入漏洞,主要是在xml轉map的時候處理不得當造成的,所以接下來的

PHP檔案包含漏洞攻防實戰(allow_url_fopen、open_basedir)

摘要 PHP是一種非常流行的Web開發語言,網際網路上的許多Web應用都是利用PHP開發的。而在利用PHP開發的Web應用中,PHP檔案包含漏洞是一種常見的漏洞。利用PHP檔案包含漏洞入侵網站也是主流的一種攻擊手段。本文對PHP檔案包含漏洞的形成、利用技巧及防範進行了詳細的

xxe漏洞深度剖析

這個漏洞也叫xml實體注入,原因是沒有對我們的輸入進行嚴格的過濾 這個注入不像我們的sql注入一樣可以得到資料庫等等之類的,這個漏洞我們可以利用定義的外部實體來讀取etc/passwd等內容 payload <?xml version = "1.0"?> <!DOC

xxe漏洞學習(2)

payload1內容 就是講下面的內容傳送給存在xxe漏洞的web主機,遠端web主機就會訪問我們的vbs主機中的test.xml檔案,並執行。 test.xml內容 payload2 payload2會訪問web伺服器上的etc資料夾下面的passwd檔案,將訪問的結果賦值給

XXE漏洞以及Blind XXE總結

 0、前言 XXE漏洞是針對使用XML互動的Web應用程式的攻擊方法,在XEE漏洞的基礎上,發展出了Blind XXE漏洞。目前來看,XML檔案作為配置檔案(Spring、Struts2等)、文

SpringMVC中的XXE漏洞測試

SpringMVC框架支援XML到Object的對映,內部是使用兩個全域性介面Marshaller和Unmarshaller,一種實現是使用Jaxb2Marshaller類進行實現,該類自然實現了兩個

常見web漏洞攻防雜談

      做為一介碼農,對那些常見的web漏洞,比如SQL注入、XSS攻擊、跨站指令碼攻擊、上傳漏洞等等,一度都是隻聞其聲不見其形。咱只負責把自己的功能做好,就OK了。那些涉及到系統安全的問題或者底層的框架的優化問題似乎永遠都輪不到我這樣的人去統籌管理。但是,

微信支付XXE漏洞修復

1.場景還原   近日,微信發來警告通知,告知平臺微信支付可能存在XXE(外部實體注入漏洞),筆者根據微信官方技術文件及時修復了該漏洞,分享出來希望能夠對大夥有所幫助2.原因分析  所謂的外部實體注入漏洞,主要是在xml轉map的時候處理不得當造成的,所以接下來的修復工作主要