• 35648

    文章

  • 23

    评论

  • 20

    友链

  • 最近新加了很多技术文章,大家多来逛逛吧~~~~
  • 喜欢这个网站的朋友可以加一下QQ群,我们一起交流技术。

XXE漏洞研究分析 原

欢迎来到阿八个人博客网站。本 阿八个人博客 网站提供最新的站长新闻,各种互联网资讯。 喜欢本站的朋友可以收藏本站,或者加QQ:我们大家一起来交流技术! URL链接:https://www.abboke.com/jsh/2019/0731/102841.html

挑战A.I.,赢百万奖金......了解更多详情>>>

 

    近期在做个基础的web常见漏洞的ppt,主要参考OWASP TOP 10 2017RC2,此版本中增加了XXE攻击,所以自己简单的研究了下XXE攻击,做个笔记。XXE(XML External Entity)XML外部实体,当前端和后端通信数据采用xml,可传入xml外部实体,利用后端xml解析器漏洞,使xml解析器去访问攻击者指定的资源。首先需要了解一些xml的基础知识。

    1.xml基础知识

        XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。

        XML具有一些特性:

            (1).XML 是一种标记语言,很类似 HTML

            (2).XML被设计用来传输和存储数据,而HTML被设计用来显示数据

            (3).XML标签没有被预定义,需要用户自行定义标签

            (4).XML具有自我描述性

        XML的语法规则:

            (1).XML必须有一个根元素

            (2).XML必须有关闭标签

            (3).XML标签对大小写敏感

            (4).XML元素必须正确的嵌套

            (5).XML属性值必须加引号

        XML DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。它使用一系列的合法元素来定义文档结构。DTD 可以在 XML 文档内声明,也可以外部引用。

        (1)内部声明:<!DOCTYPE 根元素 [元素声明]>,例如<!DOCTYPE note aaa>

        (2)外部声明:<!DOCTYPE 根元素 SYSTEM "文件名">,例如<!DOCTYPE root SYSTEM "test.dtd">

    DTD 实体声明:

        (1)内部实体声明

            <!ENTITY 实体名称 “实体的值”>

            示例:

                <!DOCTYPE foo [

                <!ELEMENT foo ANY > <!-- 声明元素 -->

                <!ENTITY test "abcdefg"> <!-- 声明内部实体 -->

                <!ENTITY xxe "Thinking"> <!-- 声明内部实体 -->

                ]>

                <foo>&xxe;&test;</foo>

        (2)外部实体声明

                <!ENTITY 实体名称 SYSTEM “URI/URL”>

                外部实体声明支持的部分协议如下:

                    <!DOCTYPE foo [

                    <!ELEMENT foo ANY >

                    <!ENTITY  xxe SYSTEM "file:///c:/windows/win.ini" > <!-- 声明外部实体 -->

                    ]>

                    <foo>&xxe;</foo>

        (3)参数实体声明

            参数实体的引用只能在 DTD中使用

            <!ENTITY % 实体名 “实体内容”>

            <!ENTITY % 实体名 SYSTEM “URI”>

            详情见:http://www.w3school.com.cn/dtd/index.asp

 

    2.XXE攻击

        xxe主要利用xml解析器对外部实体的解析去触发攻击,从上面支持的协议列表可以看出,可利用xxe去进行命令执行、读取文件、内网探测端口、作为跳板机攻击内网机器等攻击,故危害巨大。

xxe主要分为两种场景:有回显和无回显。有回显的场景中,可以直接查看到攻击执行的结果。无回显的场景下,只能通过其他手段查看攻击效果。这次主要实验了有回显的情况。

        自己编写个简单的登录场景,登录的参数使用xml传输,后端对接收的xml参数进行解析,并且返回登录情况。制作个登录,当点击“登录”按钮时,使用ajax传输xml格式的登录信息,

传输的数据格式为:<login><username>用户名</username><password>密码</password></login>

                    

 

        后端使用dom4j去解析传入的xml参数,为了实现有回显的效果,我们将传入的username回传给前端,并在前端显示出来。

@Controller
@RequestMapping(value="api")
public class XXEController {
    /*
        <login>
            <username>aaa</username>
            <password>adfasds</password>
        </login>
    */
    @ResponseBody
    @RequestMapping(value="loginXml.json"/*,method= RequestMethod.POST*/)
    public AjaxResponse testXXE(String xml){
        AjaxResponse ajaxResponse = new AjaxResponse();
        try {
            
            Document document = DocumentHelper.parseText(xml);
            Element rootEle = document.getRootElement();
            String username = rootEle.elementTextTrim("username");
            //String password = rootEle.elementTextTrim("password");
            ajaxResponse.setCode(210);
            ajaxResponse.setMsg("登录失败");
            ajaxResponse.setContent(username);
        }catch (Exception e){
            e.printStackTrace();
            ajaxResponse.setCode(211);
            ajaxResponse.setMsg("数据处理失败");
        }
        
        return ajaxResponse;
    }
    
}

正常登陆时,传输的参数和回显效果如下:

xml=%3Clogin%3E%3Cusername%3Eadmin%3C%2Fusername%3E%3Cpassword%3Etest123%3C%2Fpassword%3E%3C%2Flogin%3E

 

使用xxe攻击时,攻击示例代码如下,此代码读取c:/windows/win.ini文件

<!DOCTYPE foo 
[<!ELEMENT foo ANY>
<!ENTITY abc SYSTEM "file:///c:/windows/win.ini">]>
<login><username>&abc;</username><password>fdsf</password></login>

修改参数和回显效果如下:

成功读取win.ini文件并回显到前端。这里只做个测试,实际环境中,可能需要绕过各种限制才可行。

    3.防御措施    

        关于防御措施,第一种可以关闭xml解析器外部解析功能,第二种进行过滤,例如过滤掉!、DOCTYPE、SYSTEM、ENTITY等关键字

        尝试下第二种方案,过滤关键字。后端代码如下,将部分关键字过滤掉。

@Controller
@RequestMapping(value="api")
public class XXEController {
    /*
        <login>
            <username>aaa</username>
            <password>adfasds</password>
        </login>
    */
    @ResponseBody
    @RequestMapping(value="loginXml.json"/*,method= RequestMethod.POST*/)
    public AjaxResponse testXXE(String xml){
        AjaxResponse ajaxResponse = new AjaxResponse();
        try {
            
            //过滤部分关键字,防止XXE
            String newXml = xml.replace("!","")
                    .replace("DOCTYPE","")
                    .replace("ELEMENT","")
                    .replace("ENTITY","");
            
            Document document = DocumentHelper.parseText(newXml);
            Element rootEle = document.getRootElement();
            String username = rootEle.elementTextTrim("username");
            //String password = rootEle.elementTextTrim("password");
            ajaxResponse.setCode(210);
            ajaxResponse.setMsg("登录失败");
            ajaxResponse.setContent(username);
        }catch (Exception e){
            e.printStackTrace();
            ajaxResponse.setCode(211);
            ajaxResponse.setMsg("数据处理失败");
        }
        
        return ajaxResponse;
    }
    
}

    可以看到,将关键字过滤(替换成“”),会导致传入的数据不符合xml的格式,后端在xml解析器在解析数据时,直接出错并跳转到异常处理代码段,证明这样过滤是有效的。以上为一次简单的研究xxe,后续有待深入研究。

 

 

相关文章

暂住......别动,不想说点什么吗?
  • 全部评论(0
    还没有评论,快来抢沙发吧!