1、漏洞描述:
XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击。漏洞是在对非安全的外部实体数据进行处理时引发的安全问题。
在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念。实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容。如果在这个过程中引入了“污染”源,在对XML文档处理后则可能导致信息泄漏等安全问题。
借助XXE,攻击者可以实现任意文件读取,DOS拒绝服务攻击以及代理扫描内网等。对于不同XML解析器,对外部实体有不同处理规则,在PHP中默认处理的函数为: xml_parse和simplexml_load。xml_parse的实现方式为expat库,默认情况不会解析外部实体,而simplexml_load默认情况下会解析外部实体,造成安全威胁。除PHP外,在Java,Python等处理xml的组件及函数中都可能存在此问题。
2、检测条件:
会解析外部实体的情况下(即使用了可解析外部实体的函数)。
3、检测方法
XML中entity的定义语法为:
<!DOCTYPE filename
[
<!ENTITY entity-name "entity-content"
]>
如果要引用一个外部资源,可以借助各种协议几个例子:
file:///path/to/file.ext
http://url/file.ext
php://filter/read=convert.base64-encode/resource=conf.php
故构造简单的Payload模型如下:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xdsec [
<!ELEMENT methodname ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]> #SYSTEM是关键字
<methodcall>
<methodname>&xxe;</methodname>
</methodcall>
攻击方案有如下几种:
1、拒绝服务
POC中中先定义了lol实体,值为”lol”的字符串,后在下面又定义了lol2实体,lol2实体引用10个lol实体,lol3又引用了10个lol2实体的值,依此类推,到了最后在lolz元素中引用的lol9中,就会存在上亿个”lol”字符串此时解析数据时未做特别处理,即可能造成拒绝服务攻击。
此外还有一种可能造成拒绝服务的Payload,借助读取/dev/random实现。
2、内网信息
借助各种协议如http,XXE可以协助扫描内网,可能可以访问到内网开放WEB服务的Server,并获取其他信息。
3、文件读取
最常规也是最有效的利用思路
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE xdsec [
<!ELEMENT methodname ANY>
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]
>
<methodcall>
<methodname>&xxe;</methodname>
</methodcall>
4、修复方案
1、检查所使用的底层xml解析库,默认禁止外部实体的解析
2、使用第三方应用代码及时升级补丁
3、同时增强对系统的监控,防止此问题被人利用
对于PHP,由于simplexml_load_string函数的XML解析问题出在libxml库上,所以加载实体前可以调用这样一个函数
<?php
libxml_disable_entity_loader(true);
?>
//以进行防护,对于XMLReader和DOM方式解析,可以参考以下代码:
<?php
$doc = XMLReader::xml($badXml,'UTF-8',LIBXML_NONET);
$dom = new DOMDocument();
$dom -> loadXML($badXml,LIBXML_DTDLOAD | LIBXML_DTDATTR);
?>