前言

對于xxe漏洞的認識一直都不是很清楚，而在我為期不長的挖洞生涯中也沒有遇到過，所以就想著總結一下，撰寫此文以作為記錄，加深自己對xxe漏洞的認識。

xml基礎知識

要了解xxe漏洞，那么一定得先明白基礎知識，了解xml文檔的基礎組成。

XML用于標記電子文件使其具有結構性的標記語言，可以用來標記數據、定義數據類型，是一種允許用戶對自己的標記語言進行定義的源語言。XML文檔結構包括XML聲明、DTD文檔類型定義（可選）、文檔元素

xml文檔的構建模塊

所有的 XML 文檔（以及 HTML 文檔）均由以下簡單的構建模塊構成：

• 元素
• 屬性
• 實體
• PCDATA
• CDATA

下面是每個構建模塊的簡要描述。
1，元素
元素是 XML 以及 HTML 文檔的主要構建模塊，元素可包含文本、其他元素或者是空的。
實例:

<body>body text in between</body> <message>some message in between</message>

空的 HTML 元素的例子是 "hr"、"br" 以及 "img"。

2，屬性
屬性可提供有關元素的額外信息
實例：

<img src="computer.gif" />

3，實體
實體是用來定義普通文本的變量。實體引用是對實體的引用。

4，PCDATA
PCDATA 的意思是被解析的字符數據（parsed character data）。
PCDATA 是會被解析器解析的文本。這些文本將被解析器檢查實體以及標記。

5，CDATA
CDATA 的意思是字符數據（character data）。
CDATA 是不會被解析器解析的文本。

DTD(文檔類型定義)

DTD（文檔類型定義）的作用是定義 XML 文檔的合法構建模塊。

DTD 可以在 XML 文檔內聲明，也可以外部引用。

1，內部聲明：<!DOCTYPE 根元素 [元素聲明]> ex:?<!DOCTYOE test any>
完整實例：

<?xml version="1.0"?> <!DOCTYPE note [ <!ELEMENT note (to,from,heading,body)> <!ELEMENT to (#PCDATA)> <!ELEMENT from (#PCDATA)> <!ELEMENT heading (#PCDATA)> <!ELEMENT body (#PCDATA)> ]> <note> <to>George</to> <from>John</from> <heading>Reminder</heading> <body>Don't forget the meeting!</body> </note>

2，外部聲明（引用外部DTD）：<!DOCTYPE 根元素 SYSTEM "文件名"> ex:<!DOCTYPE test SYSTEM 'http://www.test.com/evil.dtd'>
完整實例:

<?xml version="1.0"?> <!DOCTYPE note SYSTEM "note.dtd"> <note> <to>George</to> <from>John</from> <heading>Reminder</heading> <body>Don't forget the meeting!</body> </note>

而note.dtd的內容為:

<!ELEMENT note (to,from,heading,body)> <!ELEMENT to (#PCDATA)> <!ELEMENT from (#PCDATA)> <!ELEMENT heading (#PCDATA)> <!ELEMENT body (#PCDATA)>

DTD實體

DTD實體是用于定義引用普通文本或特殊字符的快捷方式的變量，可以內部聲明或外部引用。

實體又分為一般實體和參數實體
1，一般實體的聲明語法:<!ENTITY 實體名 "實體內容“>
引用實體的方式：&實體名；
2，參數實體只能在DTD中使用，參數實體的聲明格式： <!ENTITY % 實體名 "實體內容“>
引用實體的方式：%實體名；

1，內部實體聲明:<!ENTITY 實體名稱 "實體的值"> ex:<!ENTITY eviltest "eviltest">
完整實例:

<?xml version="1.0"?> <!DOCTYPE test [ <!ENTITY writer "Bill Gates"> <!ENTITY copyright "Copyright W3School.com.cn"> ]> <test>&writer;&copyright;</test>

2，外部實體聲明:<!ENTITY 實體名稱 SYSTEM "URI">
完整實例:

<?xml version="1.0"?> <!DOCTYPE test [ <!ENTITY writer SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd"> <!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd"> ]> <author>&writer;&copyright;</author>

在了解了基礎知識后，下面開始了解xml外部實體注入引發的問題。

XXE的攻擊與危害（XML External Entity）

1，何為XXE?
答： xxe也就是xml外部實體注入。也就是上文中加粗的那一部分。

2，怎樣構建外部實體注入？
方式一：直接通過DTD外部實體聲明
XML內容

方式二：通過DTD文檔引入外部DTD文檔，再引入外部實體聲明
XML內容：

DTD文件內容：

方式三：通過DTD外部實體聲明引入外部實體聲明
好像有點拗口，其實意思就是先寫一個外部實體聲明，然后引用的是在攻擊者服務器上面的外部實體聲明
具體看例子,XML內容

dtd文件內容：

3，支持的協議有哪些？
不同程序支持的協議如下圖：

其中php支持的協議會更多一些，但需要一定的擴展支持。

4，產生哪些危害？

XXE危害1：讀取任意文件

該CASE是讀取/etc/passwd，有些XML解析庫支持列目錄，攻擊者通過列目錄、讀文件，獲取帳號密碼后進一步攻擊，如讀取tomcat-users.xml得到帳號密碼后登錄tomcat的manager部署webshell。

另外，數據不回顯就沒有問題了嗎？如下圖，

不，可以把數據發送到遠程服務器，

遠程evil.dtd文件內容如下：

觸發XXE攻擊后，服務器會把文件內容發送到攻擊者網站

XXE危害2：執行系統命令

該CASE是在安裝expect擴展的PHP環境里執行系統命令，其他協議也有可能可以執行系統命令。

XXE危害3：探測內網端口

該CASE是探測192.168.1.1的80、81端口，通過返回的“Connection refused”可以知道該81端口是closed的，而80端口是open的。

XXE危害4：攻擊內網網站

該CASE是攻擊內網struts2網站，遠程執行系統命令。

如何防御xxe攻擊

方案一、使用開發語言提供的禁用外部實體的方法

PHP： libxml_disable_entity_loader(true);JAVA: DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false);Python： from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

方案二、過濾用戶提交的XML數據
關鍵詞：<!DOCTYPE和<!ENTITY，或者，SYSTEM和PUBLIC。

最后

通過本次對XXE的總結，認真了解了XML基礎知識，XXE的攻擊方式與及防御方案。

參考資料

1，未知攻焉知防——XXE漏洞攻防
2，XXE注入攻擊與防御
3，DTD教程

轉載于:https://www.cnblogs.com/yh-ma/p/10275933.html

總結

以上是生活随笔為你收集整理的1016.XXE漏洞攻防学习的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。