原理
程序在解析XML文档输入时,没有禁止外部实体的加载,导致可加载外部的恶意文件,造成文件读取,命令执行,内网扫描,攻击内网网站等危害
危害
XML可以从外部读取DTD文件,如果将路径换成另一个文件的路径,那么服务器在解 析这个XML的时候就会把那个文件的内容赋值给SYSTEM前面的根元素中,只要我们在XML 中让前面的根元素的内容显示出来,就可以读取那个文件的内容。这就造成了一个任意文件 读取的漏洞。
Xxe防御方法
禁用外部实体
使用过滤机制
升级你的XML文档版本
禁止使用外部实体
Xml是什么
Xml是可扩展标记语言,Xml引入外部实体而XML的设计宗旨是传输数据,不是显示数据,所以XML是各种应用程序之间数据传输最常用的格式。「与HTML的区别在于一个被设计用来展示数据,一个用来传输数据」。
特点
XML 的设计宗旨是传输数据,而非显示数据
XML 标签没有被预定义,需要自行定义标签。
XML 被设计为具有自我描述性。
XML 是 W3C(www.com) 的推荐标准
Xml引入外部实体与内部实体
外部实体是xml对本服务器外的服务器进行访问的动作,内部实体就是在本服务器执行动作,一般情况下内部实体是攻击者利用不到的
xml结构
结构分为三部分声明,XML声明、DTD文档类型定义(可选)、文档元素
DTD(文档类型定义)
dtd作用是定义 XML 文档的规则模块。DTD 可以在 XML 文档内声明,也可以外部引用。
Xxe使用的伪协议
file:用来加载本地文件
http:用来加载远程文件
ftp:用来访问ftp服务器上的文件
php:用来读取php源码
利用方式
探测内网信息、攻击内网网站、读取本地文件、读取远程文件、读取php源码
无回显的xxe怎么利用
(1)使用dnslog平台进行数据外带
(2)构造远程dtd文件造成文件外泄
Xxe详细防御方法
禁用外部实体
这是防范最为严格的手段,从前面的学习我们已经知道XXE的全部利用手段基础都来源于外部实体的注入, 也就是如果禁用了外部实体,那么XXE的所有攻击手段都将失效,无法再正常利用。
代码层禁用
PHP:
libxml_disable_entity_loader(true);
JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);
.setFeature("http://xml.org/sax/features/external-general-entities",false)
.setFeature("http://xml.org/sax/features/external-parameter-entities",false);
Python:
from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=
False))
使用过滤机制
在web
服务器中设置黑白名单,对用户输入的数据进行严格的限制,从而防止用户输入恶意数据,断绝产生 XXE的可能性
过滤关键词
<!DOCTYPE、<!ENTITY、SYSTEM、PUBLIC、等DTD中外部实体常用关键词
升级你的XML文档版本
这是防范最不严格的手段,他仅仅只是升级到了更新的版本,有了更加安全的默认配置。在ibxml 2.9.0以后, 默认不解析外部实体,或者禁止使用外部实体。但是依然可以通过手动开启的方式来开启对XML的解析和外 部实体的使用。
下载地址:http://www.linuxfromscratch.org/blfs/view/cvs/general/libxml2.html
工具进行自我检查
由于XXE是一种通用型漏洞,所以在他最初被发现后,经过一段时间就被人开发出了综合利用工具,包含了 基本所有常用的XXE利用手段。我们可以利用工具进行自我检查,并及时修复。
下载地址:https://github.com/enjoiz/XXEinjector/archive/master.zip
其中工具常用的功能参数有以下这些
--host 必填项– 用于建立反向链接的IP地址。(--host=192.168.0.2)
--file 必填项- 包含有效HTTP请求的XML文件。(--file=/tmp/req.txt) --path 必填项-是否需要枚举目录 – 枚举路径。(--path=/etc)
--brute 必填项-是否需要爆破文件 -爆破文件的路径。(--brute=/tmp/brute.txt)
--rhost 远程主机IP或域名地址。(--rhost=192.168.0.3) --rport 远程主机的TCP端口信息。(--rport=8080)
--phpfilter 在发送消息之前使用PHP过滤器对目标文件进行Base64编码。 --proxy 使用代理。(--proxy=127.0.0.1:8080)
--output 爆破攻击结果输出和日志信息。(--output=/tmp/out.txt)
--timeout 设置接收文件/目录内容的Timeout。(--timeout=20)