Java 审计之XXE篇

0x00 前言

在以前XXE漏洞了解得并不多,只是有一个初步的认识和靶机里面遇到过。下面来 深入了解一下该漏洞的产生和利用。

0x01 XXE漏洞

当程序在解析XML输入时,允许引用外部实体,导致能够引用一个外部恶意文件,可导致执行系统命令,内网端口检测,文件读取,攻击内网服务,dos攻击等。

在解析外部实体的过程中,XML解析器可以根据URL中指定的方案(协议)来查询各种网络协议和服务(DNS,FTP,HTTP,SMB等)。 外部实体对于在文档中创建动态引用非常有用,这样对引用资源所做的任何更改都会在文档中自动更新。 但是,在处理外部实体时,可以针对应用程序启动许多攻击。 这些攻击包括泄露本地系统文件,这些文件可能包含密码和私人用户数据等敏感数据,或利用各种方案的网络访问功能来操纵内部应用程序。 通过将这些攻击与其他实现缺陷相结合,这些攻击的范围可以扩展到客户端内存损坏,任意代码执行,甚至服务中断,具体取决于这些攻击的上下文。

具体利用方式参考: 一篇文章带你深入理解漏洞之 XXE 漏洞

0x02 Java中XXE的产生

其实说白了,也还是在web应用中接受并且解析xml的时候允许引用外部的实体。web应用中需要解析的xml,需要是可控的。

那么先来看看漏洞产生的代码,前面本来想着是自己去写一个XXE的漏洞代码,但是发现写的时候报各种错,参考其他文章的代码,调试半天还是报错。所以这里就借用JoyChou师傅开源的Java Sec Code项目上来做一个演示。

项目地址:https://github.com/JoyChou93/java-sec-code/

DocumentBuilder

DocumentBuilder类是JDK自带的类,在该类解析产生的XXE漏洞是有回显的。

public String DocumentBuilderVuln01(HttpServletRequest request) {

        try {

            String body = WebUtils.getRequestBody(request);

            logger.info(body);

            DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();

            DocumentBuilder db = dbf.newDocumentBuilder();

            StringReader sr = new StringReader(body);

            InputSource is = new InputSource(sr);

            Document document = db.parse(is);  // parse xml

            // 遍历xml节点name和value

            StringBuilder buf = new StringBuilder();

            NodeList rootNodeList = document.getChildNodes();

            for (int i = 0; i < rootNodeList.getLength(); i++) {

                Node rootNode = rootNodeList.item(i);

                NodeList child = rootNode.getChildNodes();

                for (int j = 0; j < child.getLength(); j++) {

                    Node node = child.item(j);

                    buf.append(String.format("%s: %s\n", node.getNodeName(), node.getTextContent()));

                }

            }

            sr.close();

            return buf.toString();

        } catch (Exception e) {

            logger.error(e.toString());

            return EXCEPT;

        }

saxReader

saxReader是第三方的库,该类是无回显的

public String SAXReaderVuln(HttpServletRequest request) {

        try {

            String body = WebUtils.getRequestBody(request);

            logger.info(body);

            SAXReader reader = new SAXReader();

            // org.dom4j.Document document

            reader.read(new InputSource(new StringReader(body))); // cause xxe

        } catch (Exception e) {

            logger.error(e.toString());

            return EXCEPT;

        }

SAXBuilder

第三方库

  public String SAXBuilderVuln(HttpServletRequest request) {

        try {

            String body = WebUtils.getRequestBody(request);

            logger.info(body);

            SAXBuilder builder = new SAXBuilder();

            // org.jdom2.Document document

            builder.build(new InputSource(new StringReader(body)));  // cause xxe

            return "SAXBuilder xxe vuln code";

        } catch (Exception e) {

            logger.error(e.toString());

            return EXCEPT;

SAXParserFactory

该类也是JDK内置的类,但他不可回显内容,可借助dnslog平台

public String SAXParserVuln(HttpServletRequest request) {

        try {

            String body = WebUtils.getRequestBody(request);

            logger.info(body);

            SAXParserFactory spf = SAXParserFactory.newInstance();

            SAXParser parser = spf.newSAXParser();

            parser.parse(new InputSource(new StringReader(body)), new DefaultHandler());  // parse xml

            return "SAXParser xxe vuln code";

        } catch (Exception e) {

            logger.error(e.toString());

            return EXCEPT;

        }

    }

XMLReaderFactory

 public String xmlReaderVuln(HttpServletRequest request) {

        try {

            String body = WebUtils.getRequestBody(request);

            logger.info(body);

            XMLReader xmlReader = XMLReaderFactory.createXMLReader();

            xmlReader.parse(new InputSource(new StringReader(body)));  // parse xml

            return "xmlReader xxe vuln code";

        } catch (Exception e) {

            logger.error(e.toString());

            return EXCEPT;

        }

Digester

 public String DigesterVuln(HttpServletRequest request) {

        try {

            String body = WebUtils.getRequestBody(request);

            logger.info(body);

            Digester digester = new Digester();

            digester.parse(new StringReader(body));  // parse xml

        } catch (Exception e) {

            logger.error(e.toString());

            return EXCEPT;

        }

        return "Digester xxe vuln code";

XMLReader

public String XMLReaderVuln(HttpServletRequest request) {

        try {

            String body = WebUtils.getRequestBody(request);

            logger.info(body);

            SAXParserFactory spf = SAXParserFactory.newInstance();

            SAXParser saxParser = spf.newSAXParser();

            XMLReader xmlReader = saxParser.getXMLReader();

            xmlReader.parse(new InputSource(new StringReader(body)));

        } catch (Exception e) {

            logger.error(e.toString());

            return EXCEPT;

        }

        return "XMLReader xxe vuln code";

    }

修复方法

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();

dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);

dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);

dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

0x03 结尾

本文作为一个记录文,在Java中能解析XXE的类会比较多。因为在Java中配置文件会频繁的使用到XML文件或是数据传输。导致XXE漏洞可能会比其他语言的出现频率高(瞎说的)。在审计的时候可以这么查看有没有使用到那几个set方法被修复掉,如果没有那么就可以存在XXE。当然也要查看使用的是哪个类进行解析,有没有回显的情况。有回显的话,能不能出网,能出网的话就可以借助dnslog平台进行回显。

Java 审计之XXE篇的更多相关文章

  1. 漏洞经验分享丨Java审计之XXE(下)

    上篇内容我们介绍了XXE的基础概念和审计函数的相关内容,今天我们将继续分享Blind XXE与OOB-XXE的知识点以及XXE防御方法,希望对大家的学习有所帮助! 上期回顾  ◀漏洞经验分享丨Java ...

  2. Java审计之XSS篇

    Java审计之XSS篇 0x00 前言 继续 学习一波Java审计的XSS漏洞的产生过程和代码. 0x01 Java 中XSS漏洞代码分析 xss原理 xss产生过程: 后台未对用户输入进行检查或过滤 ...

  3. Java 审计之SSRF篇

    Java 审计之SSRF篇 0x00 前言 本篇文章来记录一下Java SSRF的审计学习相关内容. 0x01 SSRF漏洞详解 原理: 服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过 ...

  4. 漏洞经验分享丨Java审计之XXE(上)

    最近在审计公司的某个项目时(Java方面),发现了几个有意思的Blind XXE漏洞,我觉得有必要分享给大家,尤其是Java审计新手,了解这些内容可以让你少走一些弯路. Java总体常出现的审计漏洞如 ...

  5. Java审计之SQL注入篇

    Java审计之SQL注入篇 0x00 前言 本篇文章作为Java Web 审计的一个入门文,也是我的第一篇审计文,后面打算更新一个小系列,来记录一下我的审计学习的成长. 0x01 JDBC 注入分析 ...

  6. Java审计之命令执行篇

    Java审计之命令执行篇 0x00 前言 在Java中能执行命令的类其实并不多,不像php那样各种的命令执行函数.在Java中目前所知的能执行命令的类也就两种,分别是Runtime和 ProcessB ...

  7. Java审计之文件操作漏洞

    Java审计之文件操作漏洞篇 0x00 前言 本篇内容打算把Java审计中会遇到的一些文件操作的漏洞,都给叙述一遍.比如一些任意文件上传,文件下载,文件读取,文件删除,这些操作文件的漏洞. 0x01 ...

  8. Java多线程系列--“基础篇”11之 生产消费者问题

    概要 本章,会对“生产/消费者问题”进行讨论.涉及到的内容包括:1. 生产/消费者模型2. 生产/消费者实现 转载请注明出处:http://www.cnblogs.com/skywang12345/p ...

  9. Java多线程系列--“基础篇”04之 synchronized关键字

    概要 本章,会对synchronized关键字进行介绍.涉及到的内容包括:1. synchronized原理2. synchronized基本规则3. synchronized方法 和 synchro ...

随机推荐

  1. Java面试题(JVM篇)

    JVM 194.说一下 jvm 的主要组成部分?及其作用? 类加载器(ClassLoader) 运行时数据区(Runtime Data Area) 执行引擎(Execution Engine) 本地库 ...

  2. SPFA算法详解

    前置知识:Bellman-Ford算法 前排提示:SPFA算法非常容易被卡出翔.所以如果不是图中有负权边,尽量使用Dijkstra!(Dijkstra算法不能能处理负权边,但SPFA能) 前排提示*2 ...

  3. 卡方检验(Chi_square_test): 原理及python实现

    概述 What for?主要用在某个变量(或特征)值是不是和应变量有显著关系,换种说法就是看某个变量是否独立 \(X^2=\sum{\frac{(observed-expected)^2}{expec ...

  4. selenium模拟登录豆瓣和qq空间

    selenium模拟登录豆瓣和qq空间今天又重新学习了下selenium,模拟登录豆瓣,发现设置等待时间真的是很重要的一步,不然一直报错:selenium.common.exceptions.NoSu ...

  5. 利用分块传输吊打所有WAF--学习笔记

    在看了bypassword的<在HTTP协议层面绕过WAF>之后,想起了之前做过的一些研究,所以写个简单的短文来补充一下文章里“分块传输”部分没提到的两个技巧. 技巧1 使用注释扰乱分块数 ...

  6. java初探(1)之登录终探

    上一章讲了表单验证,数据验证和加密.这一章,将研究服务器和数据库的交互过程. 后端服务器有两种主流的形式,SQL数据库和NOSQL数据库.其中MYSQL属于SQL数据库,REDIS属于非SQL数据库. ...

  7. 深入了解Netty【四】IO模型

    引言 IO模型就是操作数据输入输出的方式,在Linux系统中有5大IO模型:阻塞式IO模型.非阻塞式IO模型.IO复用模型.信号驱动式IO模型.异步IO模型. 因为学习Netty必不可少的要了解IO多 ...

  8. oracle创建/删除 用户,表空间-九五小庞

    以下红色标示的都是可以修改的字段 可以按照如下顺序来创建表空间,创建用户,以及删除表空间,删除用户 查看oracle数据库已有的表空间路径 select name from v$datafile; 1 ...

  9. oracle 11G R2卸载说明

    oracle 11G R2数据库卸载

  10. 「查缺补漏」巩固你的Nginx知识体系

    Nginx篇 基本介绍 Nginx是一款轻量级的 Web服务器 / 反向代理服务器 / 电子邮件(IMAP/POP3)代理服务器,主要的优点是: 支持高并发连接,尤其是静态界面,官方测试Nginx能够 ...