一：初識XXE漏洞

　　1.XXE簡介

　　XXE就是XML外部實體注入，當(dāng)允許引用外部實體時， XML數(shù)據(jù)在傳輸中有可能會被不法分子被修改，如果服務(wù)器執(zhí)行被惡意插入的代碼，就可以實現(xiàn)攻擊的目的攻擊者可以通過構(gòu)造惡意內(nèi)容，就可能導(dǎo)致任意文件讀取，系統(tǒng)命令執(zhí)行，內(nèi)網(wǎng)端口探測，攻擊內(nèi)網(wǎng)網(wǎng)站等危害。

　　那有的小伙伴可能就會問了，那XML又是什么呢?

　　2.XML概念

　　XML是可擴(kuò)展的標(biāo)記語言(eXtensible Markup Language)，設(shè)計用來進(jìn)行數(shù)據(jù)的傳輸和存儲， 結(jié)構(gòu)是樹形結(jié)構(gòu)，有標(biāo)簽構(gòu)成，這點很像HTML語言。

　　但是XML和HTML有明顯區(qū)別如下：

　　XML 被設(shè)計用來傳輸和存儲數(shù)據(jù)。

　　HTML 被設(shè)計用來顯示數(shù)據(jù)。

　　二：XML語法簡析

　　1.XML基礎(chǔ)語法

　　先來看一段簡單的XML代碼

　　簡單來說XML的語法中，標(biāo)簽就是變量名，標(biāo)簽里面的數(shù)據(jù)就是變量的值

　　但這里也存在一個問題，當(dāng)數(shù)據(jù)里出現(xiàn)了尖括號時，就會造成XML數(shù)據(jù)的解析錯誤，如下

　　所以xml語法中也對這種寫法最初了規(guī)定，即

　　在XML中某些單獨字符，如引號” ‘ & 和 尖括號 都是不允許直接出現(xiàn)在XML文檔中(也就是不能直接用剛才那種寫法保存這些帶有這些單獨字符的數(shù)據(jù))的，因為XML 解析的時候會分辨不清這種輸入到底是數(shù)值還是標(biāo)簽 那有什么辦法能夠保存這些帶有特殊字符的數(shù)據(jù)呢?這就是下面我們要講的實體

　　2.XML實體

　　上面的問題必須要解決，所以出現(xiàn)了實體Entity來解決這個問題 實體Entity是一種簡單的存儲單元就好比xml變量一樣可以對它進(jìn)行賦值﹐并在xml文檔中不同的地方對他引用。實體在XML文檔中的文檔類型定義部分(DTD)被單獨定義描述。

　　[1].XML的基本結(jié)構(gòu)

　　上面有一些詞可能大家還比較陌生，先簡單介紹一些XML基本的結(jié)構(gòu)，由XML聲明，DTD部分，XML部分，三部分組成，示意圖如下

　　DTD部分就是用來定義 XML 文檔的合法構(gòu)建模塊的，繼續(xù)往下看你就明白了

　　上面講到了實體，我們繼續(xù)來看看

　　而實體又分為三種，一般實體(通用實體)，參數(shù)實體，預(yù)定義實體

　　[2].一般實體

　　一般實體的聲明：

　　引用一般實體的方法：&實體名稱;

　　來看看下面一段使用了一般實體的代碼

　　范圍：普通實體可以在DTD中引用，可以在XML中引用，可以在聲明前引用，還可以在實體聲明內(nèi)部引用。

　　[3].參數(shù)實體

　　參數(shù)實體的聲明：

　　引用參數(shù)實體的方法：%實體名稱;

　　來看看下面一段使用了參數(shù)實體的代碼，其實跟一般實體差不多知識%的區(qū)別

　　它必須定義在單獨的DTD區(qū)域,這種實體相對靈活，這種功能在漏洞利用場景的外部實體注入(XXE)過程中非常有用

　　[4].預(yù)定義實體

　　這玩意在XXE漏洞中一般用不到，有興趣的同學(xué)可以去簡單了解一下，我這里就不講了

　　[5].內(nèi)部實體和外部實體

　　上面講的那些都是內(nèi)部實體，實體的值來源于內(nèi)部，而外部實體顧名思義就是引用外部的值，兩者的寫法也差不多，外部實體僅僅是多了一個SYSTEM，給大家列了個表格這樣大家可以更清楚一點，如下

　　注意：引入外部的DTD文件時，dtd文件中存放的就是xml代碼，并且引用外部實體的時候還可以使用各種偽協(xié)議，而不是僅限于http協(xié)議

　　[6].實例演示

　　可能有些人還是比較迷糊， 下面分別給出一個內(nèi)部實體和外部實體的例子大家就能看懂了 來看一段內(nèi)部實體的例子

　　再來看看外部實體

　　總結(jié)一下，內(nèi)部實體就相當(dāng)于自己編寫DTD內(nèi)容，而外部實體就相當(dāng)于引入外部的DTD內(nèi)容，類似于寫JS代碼時從外部引入JS文件，這樣就能理解了吧，上面的一般實體和參數(shù)實體都可以化為外部實體

　　而XXE漏洞，就存在于外部實體中，我們將惡意代碼寫入DTD文件中再通過外部實體引入

　　三：漏洞演示

　　1.漏洞明析

　　在這里在復(fù)習(xí)一下XXE漏洞是什么

　　XXE漏洞就是XML外部實體注入。既然是外部實體注入，那么針對于XXE漏洞肯定就是XML外部實體了。引入外部實體方式有很多種，比如：實體ENTITY不僅能用來儲存指定數(shù)值，他還能從本地文件或者遠(yuǎn)程文件中調(diào)用相關(guān)的數(shù)據(jù)作為后續(xù)實體引用。如外部實體(XMLExternal Entity)就是其中之一。

　　下面舉兩個簡單的外部實體攻擊例子

　　[1].例一.

　　此時c變量讀取的值便是/etc/passwd文件的內(nèi)容

　　但這種方式也有問題，就是會涉及到敏感內(nèi)容，所以還有下面這種攻擊方法

　　[2].例二

　　該方法通過引入外部的DTD文件，而文件中同樣是讀取敏感文件的惡意代碼，這樣被檢測的可能性就大大降低

　　2.檢測漏洞

　　這里的漏洞環(huán)境我們使用的是pikachu這個靶場的XXE關(guān)卡，這個靶場應(yīng)該都有吧，沒有的也可以找我拿，打開該靶場的XXE關(guān)卡，如下

　　可以看到是一個輸入框，提示可以接收xml數(shù)據(jù)

　　那我們該怎么判斷是否存在XXE漏洞呢?其實就是看他是否能夠解析XML數(shù)據(jù)，所以我們直接傳入一段XML代碼看他能否解析

　　我們放入下面這段代碼

　　這段代碼都能看懂吧,就是給name變量賦了一個test值，把代碼放到輸入框中，點擊提交，結(jié)果如下

　　成功提取到test數(shù)據(jù)，說明有可能存在XXE漏洞

　　3.漏洞利用

　　上面已經(jīng)檢測數(shù)來存在XXE漏洞了，那應(yīng)該怎么利用呢，很簡單，就是利用我們剛才講到的，外部實體引用可以使用的——協(xié)議

　　這里也給大家準(zhǔn)備了各種語言支持的協(xié)議 ，如下

　　[1].直接外部實體注入

　　直接外部實體注入，就是通過協(xié)議直接執(zhí)行惡意命令

　　因為我是windows主機(jī)，這里我們以file協(xié)議來讀取c:/windows/win.ini配置文件的內(nèi)容，xml代碼如下(注意這里的路徑需要改變寫法，不然會受到轉(zhuǎn)義的影響)

　　將代碼放入輸入框提交，結(jié)果如下：

　　成功讀取

　　[2].間接外部實體注入

　　這個也比較簡單，就會將惡意代碼寫在DTD文件中，再引入DTD文件，操作如下

　　構(gòu)造外部dtd文件

　　打開虛擬機(jī)，這里我選擇的是kali，進(jìn)入根目錄，創(chuàng)建一個xxx.dtd的文件，內(nèi)容如下

　　使兩臺機(jī)器可以互相連接

　　這里直接打開apache服務(wù)就可以達(dá)到這個效果了，主要是為了使xml代碼能成功引用到kali的dtd文件

　　構(gòu)造XML代碼

　　引用外部實體的xml代碼如下(192.168..0.107是我的kali的ip地址),這里用參數(shù)實體給大家演示一下

　　效果如下，成功讀取

　　四：漏洞防范

　　針對于XXE漏洞修復(fù)其實只有兩點：

　　禁止使用外部實體，例如libxml disable_entity_loader(true) 。

　　過濾用戶提交的XML數(shù)據(jù)，防止出現(xiàn)非法內(nèi)容。