xxe漏洞攻防简介 xml 引用外部实体构造恶意内容

ゝ一世哀愁。 2021-09-01 05:56 268阅读 0赞

**目录**

一、XML基础知识

二、XML外部实体注入(XML External Entity)

三、客户端XXE案例

四、防御XXE攻击

--------------------

### 一、XML基础知识 ###

XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70][]

DTD（文档类型定义）的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明，也可以外部引用。

**内部声明DTD**  
根元素 \[元素声明\]>

**引用外部DTD**  
根元素 SYSTEM "文件名">  
或者  
根元素 PUBLIC "public\_ID" "文件名">

DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量，可以内部声明或外部引用。

**内部声明实体**  
实体名称 "实体的值">

**引用外部实体**  
实体名称 SYSTEM "URI">  
或者  
实体名称 PUBLIC "public\_ID" "URI">

** **

### 二、XML外部实体注入(XML External Entity) ###

当允许引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

引入外部实体方式有多种，比如：  
**恶意引入外部实体方式1：**

XML内容：

![format_png][]

**恶意引入外部实体方式2：**

XML内容：

![format_png 1][]

DTD文件(evil.dtd)内容：

![format_png 2][]

**恶意引入外部实体方式3：**

XML内容：

![format_png 3][]

DTD文件(evil.dtd)内容：

![format_png 4][]

另外，不同程序支持的协议不一样，

![format_png 5][]

上图是默认支持协议，还可以支持其他，如PHP支持的扩展协议有

![format_png 6][]  
以下举例说明XXE危害，当然XXE不止这些危害。  
**XXE危害1：读取任意文件**

![format_png 7][]

![format_png 8][]  
该CASE是读取/etc/passwd，有些XML解析库支持列目录，攻击者通过列目录、读文件，获取帐号密码后进一步攻击，如读取tomcat-users.xml得到帐号密码后登录tomcat的manager部署webshell。

另外，数据不回显就没有问题了吗？如下图，

![format_png 9][]  
  
不，可以把数据发送到远程服务器，

![format_png 10][]  
远程evil.dtd文件内容如下：

![format_png 11][]  
触发XXE攻击后，服务器会把文件内容发送到攻击者网站

![format_png 12][]

![format_png 13][]

**XXE危害2：执行系统命令**

![format_png 14][]

![format_png 15][]  
该CASE是在安装expect扩展的PHP环境里执行系统命令，其他协议也有可能可以执行系统命令。

**XXE危害3：探测内网端口**

![format_png 16][]

![format_png 17][]  
该CASE是探测192.168.1.1的80、81端口，通过返回的“Connection refused”可以知道该81端口是closed的，而80端口是open的。

**XXE危害4：攻击内网网站**

![format_png 18][]

![format_png 19][]  
该CASE是攻击内网struts2网站，远程执行系统命令。

### 三、客户端XXE案例 ###

日前，某office文档转换软件被爆存在XXE漏洞（PS:感谢TSRC平台白帽子Titans\`报告漏洞），某一应用场景为：Web程序调用该office软件来获取office文档内容后提供在线预览。由于该软件在处理office文档时，读取xml文件且允许引用外部实体，当用户上传恶意文档并预览时触发XXE攻击。详情如下：

新建一个正常文档，内容为Hi TSRC，

![format_png 20][]  
使用该软件转换后可以得到文本格式的文档内容，

![format_png 21][]

![format_png 22][]  
当往该docx的xml文件注入恶意代码（引用外部实体）时，可进行XXE攻击。

![format_png 23][]

![format_png 24][]

### 四、防御XXE攻击 ###

**方案一、使用开发语言提供的禁用外部实体的方法**  
PHP：

libxml\_disable\_entity\_loader(true);  
其他语言:

https://www.owasp.org/index.php/XML\_External\_Entity\_(XXE)\_Prevention\_Cheat\_Sheet

**方案二、过滤用户提交的XML数据**  
关键词：，SYSTEM和PUBLIC。  
**【最后】**  
无论是WEB程序，还是PC程序，只要处理用户可控的XML都可能存在危害极大的XXE漏洞，开发人员在处理XML时需谨慎，在用户可控的XML数据里禁止引用外部实体。  
文中涉及到的代码和技术细节，只限用于技术交流，切勿用于非法用途。欢迎探讨交流，行文仓促，不足之处，敬请不吝批评指正。  
**【参考】**

[http://www.vsecurity.com/download/papers/XMLDTDEntityAttacks.pdf][http_www.vsecurity.com_download_papers_XMLDTDEntityAttacks.pdf]

[http://2013.appsecusa.org/2013/wp-content/uploads/2013/12/WhatYouDidntKnowAboutXXEAttacks.pdf][http_2013.appsecusa.org_2013_wp-content_uploads_2013_12_WhatYouDidntKnowAboutXXEAttacks.pdf]

[https://www.owasp.org/images/5/5d/XML\_Exteral\_Entity\_Attack.pdf][https_www.owasp.org_images_5_5d_XML_Exteral_Entity_Attack.pdf]

[https://www.youtube.com/watch?v=j2cfebNEfic][https_www.youtube.com_watch_v_j2cfebNEfic]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3doYXRkYXk_size_16_color_FFFFFF_t_70]: /images/20210728/c59b93fa9d6e4bc5a60ef2c11caff97e.png
[format_png]: /images/20210728/d5db212c83de4b36af74a0e0c927ba8d.png
[format_png 1]: /images/20210728/20e95e525e6c438cb46f84c6e8de6bf7.png
[format_png 2]: /images/20210728/1a583c059ef2411eb87802f7edc0b7b8.png
[format_png 3]: /images/20210728/69f75ec92aa546898a9164fb746f945a.png
[format_png 4]: /images/20210728/0c1dca6b25054cc9ab606be72b424c55.png
[format_png 5]: /images/20210728/4359b40422844d58808ebe25d6b36103.png
[format_png 6]: /images/20210728/dee7543c8ca94773958156d7ee9d5c8d.png
[format_png 7]: /images/20210728/8d0ad434db0b4260aed813003808bbf0.png
[format_png 8]: /images/20210728/e307f1a1fdbc40789edfde6e767c067f.png
[format_png 9]: /images/20210728/28995714050a4251b566a4fee3041a38.png
[format_png 10]: /images/20210728/963d343be0204c13992f194af50234ca.png
[format_png 11]: /images/20210728/29f285d9794d438280296f809982c266.png
[format_png 12]: /images/20210728/35ebf0ade8ff4bd5a543ec84b53ce174.png
[format_png 13]: /images/20210728/329d4a527d9c490899caa9409a840943.png
[format_png 14]: /images/20210728/96bfcc7bc0244d50bae52a7f10e97c38.png
[format_png 15]: /images/20210728/4661813bf1564b6dbb957a07e75ad63a.png
[format_png 16]: /images/20210728/0256b221148640c490a045fd7d2a6f2d.png
[format_png 17]: /images/20210728/2c8ee0e4adf842df84f5407a66c28738.png
[format_png 18]: /images/20210728/e6cb586267a44f78870d3ee10139fa93.png
[format_png 19]: /images/20210728/efd3b52848944830a7410e0ca58bb600.png
[format_png 20]: /images/20210728/5898ec68ce504c459f1e426bbcb93366.png
[format_png 21]: /images/20210728/49c37a8fb5254c68879c4f732ca3c766.png
[format_png 22]: /images/20210728/8add79e69dae4656bd23e28d2d7b1d78.png
[format_png 23]: /images/20210728/848adc80e2564becbb188cdbcfc6023e.png
[format_png 24]: /images/20210728/6bc82966d7e34f62a821301ae326f64e.png
[http_www.vsecurity.com_download_papers_XMLDTDEntityAttacks.pdf]: http://www.vsecurity.com/download/papers/XMLDTDEntityAttacks.pdf
[http_2013.appsecusa.org_2013_wp-content_uploads_2013_12_WhatYouDidntKnowAboutXXEAttacks.pdf]: http://2013.appsecusa.org/2013/wp-content/uploads/2013/12/WhatYouDidntKnowAboutXXEAttacks.pdf
[https_www.owasp.org_images_5_5d_XML_Exteral_Entity_Attack.pdf]: https://www.owasp.org/images/5/5d/XML_Exteral_Entity_Attack.pdf
[https_www.youtube.com_watch_v_j2cfebNEfic]: https://www.youtube.com/watch?v=j2cfebNEfic