网络安全

XML注入介绍--XXE，XEE,xpath等

XML注入指在请求的XML中插入攻击利用代码。根据不同的场景，可能会形成以下的漏洞形式：

(1)XEE ----xml entity xpansion(xml实体膨胀，用于dos)

(2)XXE-----xml external entity injection(xml外部实体注入，最为常见的方法)

(3)soap注入

(4)xpath注入

XML实体攻击已经是一个很老的技术了，这里仅对学习的过程做一个记录。

$keyword= $_POST['keyword'];

$xml_obj= simplexml_load_string($keyword);

var_dump($xml_obj);

上面这段代码用于XXE实体攻击的练习，你可以将其保存至你的环境下用于测试。(记得删除:P)

XML讲解可以参考w3schools的教程。

这里简单说一下XML中的实体类型，大致有下面几种：

字符实体

命名实体

外部实体

参数实体

除参数实体外，其它实体都以字符(&)开始，以字符(;)结束。常规实体有：'(')、&(&)、"(")、<()。

字符实体类似html中的实体编码，形如：a(十进制)或者a(十六进制)。

命名实体可以说成是变量声明，命名实体只能声明在DTD或者XML文件开始部分(语句中)。如下面代码所示：

]>

&x;&y;

外部实体用于加载外部文件的内容。(XXE攻击主要利用此实体)

]>

&outfile;

参数实体用于DTD和文档的内部子集中。与一般实体相比它以字符(%)开始，以字符(;)结束。只有在DTD文件中才能在参数实体声明的时候引用其他实体。(XXE攻击常结合利用参数实体进行数据回显)

%dtd;

]>

&content

combine.dtd中的内容为：

上面combine.dtd中定义了一个基本实体，引用了3个参数实体：

%param1;，%param2;，%param3;。

解析后...中的内容为Hello World。

XML实体攻击主要利用了XML实体中的外部实体结合各种协议来读取服务器上的数据，在DTD文件中的参数实体声明时能够引用其他参数实体的值，因此在XXE攻击回显遇到困难时会用到。

*简单文件读取

因为可以进行外部实体加载，在XXE攻击中常用来进行本地文件读取。

]>

&content;

在使用file://协议时，有以下几种格式：

* Linux

file:///etc/passwd

* Windows

file:///c:/windows/win.ini

file://localhost/c:/windows/win.ini

(下面这两种在某些浏览器里是支持的)

file:///c|windows/win.ini

file://localhost/c|windows/win.ini

除了使用file://协议进行文件读取外，如果XML文档是用PHP进行解析的，那么还可以使用php://filter协议来进行读取。

]>

&content;

* DoS攻击

因为解析器会解析文档中的所有实体，因此如果实体声明层层嵌套的话，在一定数量上可以对服务器器造成DoS。

...

]>

&x100;

嵌套实体声明曾指数增长，可能造成对服务器的DoS。

]>

加载一个不稳定的文件描述也可能产生DoS。

*端口扫描

加载外部DTD时有两种加载方式，一种为私有private，第二种为公告public。

私有类型DTD加载：

公共类型DTD加载：

在公共类型DTD加载的时候，首先会使用DTD_name来检索，如果无法找到，则通过DTD_location来寻找此公共DTD。利用DTD_location，在一定的环境下可以用来做内网探测。

]>

&portscan;

因解析器种类不同，所以针对XXE攻击进行端口扫描需要一个合适的环境才能够实现，例如：有明显的连接错误信息。

*利用DTD进行数据回显

当利用XXE攻击进行文件读取时经常因为没有回显而显得鸡肋，这个时候就可以结合参数实体的特殊性，加载一个外部DTD来进行回显。

%dtd;

%send;

]>

其中evil.dtd的内容如下：

">

%payload;

在DTD文件中声明了参数实体payload，其值是一个实体参数声明，因为是在DTD里面，所以可以引用上文的%file;参数实体，%file;参数实体为c:/windows/win.ini文本的内容。最后在原XML里引用DTD中的参数实体，此时就可以讲本地文件读取的内容通过HTTP发送出去(为了让请求的URL有效，这里对使用了php://filter协议，并将内容使用base64进行了编码)。

此方法针对数据不回显的情况及其有用。

*远程命令执行

当然了，除了文件读取和DoS外，某些情况下还能进行RCE。例如在PHP开启了PECL上的Expect扩展时，就能使用expect://协议来执行命令。

]>

&content;

利用XXE攻击时需要结合实际环境才能发挥出其威力。:D

参考

内容来源于网络，如有侵权请联系客服删除