1、漏洞描述
漏洞描述:
XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击。无论是WEB程序,还是PC程序,只要处理用户可控的XML都可能存在危害极大的XXE漏洞,开发人员在处理XML时需谨慎,在用户可控的XML数据里禁止引用外部实体。
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。具体有如下几种情况:
1、内部声明DTD
<!DOCTYPE 根元素 [元素声明]>
2、引用外部DTD
<!DOCTYPE 根元素 SYSTEM "文件名">
或者
<!DOCTYPE 根元素 PUBLIC "public_ID" "文件名">
DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。
3、内部声明实体
<!ENTITY 实体名称 "实体的值">
4、引用外部实体
<!ENTITY 实体名称 SYSTEM "URI">
或者
<!ENTITY 实体名称 PUBLIC "public_ID" "URI">
当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
引入外部实体方式有多种,比如:
1、恶意引入外部实体方式1:
XML内容:
2、恶意引入外部实体方式2:
XML内容:
DTD文件(evil.dtd)内容:
3、恶意引入外部实体方式3:
XML内容:
DTD文件(evil.dtd)内容:
另外,不同程序支持的协议不一样:
上图是默认支持协议,还可以支持其他,如PHP支持的扩展协议有:
XXE危害1:读取任意文件
<! DOCTYPE ANY [
<! ENTITY xxe SYSTEM “file:///1”>
]>
EOF;
$data = simplexml_load_string($xml);
print_r($data);
该CASE是读取/etc/passwd,有些XML解析库支持列目录,攻击者通过列目录、读文件,获取帐号密码后进一步攻击,如读取tomcat-users.xml得到帐号密码后登录tomcat的manager部署webshell。
另外,数据不回显就没有问题了吗?如下图:
我们可以把数据发送到远程服务器,
远程evil.dtd文件内容如下:
触发XXE攻击后,服务器会把文件内容发送到攻击者网站,
XXE危害2:执行系统命令
该CASE是在安装expect扩展的PHP环境里执行系统命令,其他协议也有可能可以执行系统命令。
XXE危害3:探测内网端口
该CASE是探测192.168.1.1的80、81端口,通过返回的“Connection refused”可以知道该81端口是closed的,而80端口是open的。
XXE危害4:攻击内网网站
该CASE是攻击内网struts2网站,远程执行系统命令。
2、漏洞场景复现
漏洞场景一:
直接将用户输入的XML数据在服务端未经验证进行解析,代码如下:
InputStream xml=request.getInputStream();
System.out.println(xml);
DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
DocumentBuilder builder = factory.newDocumentBuilder();
InputSource is = new InputSource(xml);
Document doc = builder.parse(is);
Element element = doc.getDocumentElement();
NodeList nodes = element.getChildNodes();
out.print("<br/>Result:<br/>");
out.print("---------------------<br/>");
for (int i = 0; i < nodes.getLength(); i++)
{
out.print(nodes.item(i).getNodeName()+" : " + nodes.item(i).getFirstChild().getNodeValue().toString());
out.print("<br/>");
}
访问页面截包,在XML标签中引入外部实体读取任意文件,如下图:
在正常的XML标签中插入<!DOCTYPE z [<!ENTITY test SYSTEM "file:///d:/2.txt" >]>
读取d:/2.txt的内容,然后存储到test变量中进行输出。
3、漏洞修复建议
1、使用开发语言提供的禁用外部实体的方法
在解析XML时候禁止引用外部实体,代码如下:
PHP:
libxml_disable_entity_loader(true);
JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
Python:
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
针对以上缺陷java代码修复后代码如下:
InputStream xml=request.getInputStream();
System.out.println(xml);
DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
factory.setExpandEntityReferences(false);//禁止引入外部实体
DocumentBuilder builder = factory.newDocumentBuilder();
InputSource is = new InputSource(xml);
Document doc = builder.parse(is);
System.out.println(doc);
Element element = doc.getDocumentElement();
System.out.println(element);
NodeList nodes = element.getChildNodes();
System.out.println(nodes);
out.print("<br/>Result:<br/>");
out.print("---------------------<br/>");
for (int i = 0; i < nodes.getLength(); i++)
{
out.print(nodes.item(i).getNodeName()+" : " + nodes.item(i).getFirstChild().getNodeValue().toString());
out.print("<br/>");
}
2、过滤用户提交的XML数据
关键词:<!DOCTYPE和<!ENTITY
,或者,SYSTEM和PUBLIC。