XXE 漏洞简单研究

近期在做个基础的 web 常见漏洞的 ppt，主要参考 OWASP TOP 10 2017RC2，此版本中增加了 XXE 攻击，所以自己简单的研究下 XXE 攻击。XXE（XML External Entity）XML 外部实体，当前端和后端通信数据采用 xml，可传入 xml 外部实体，利用后端 xml 解析器漏洞，使 xml 解析器去访问攻击者指定的资源。首先需要了解一些 xml 的基础知识。

1.xml 基础知识

        XML 用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML 文档结构包括 XML 声明、DTD 文档类型定义（可选）、文档元素。

        XML 具有一些特性：

            (1).XML 是一种标记语言，很类似 HTML

            (2).XML 被设计用来传输和存储数据，而 HTML 被设计用来显示数据

            (3).XML 标签没有被预定义，需要用户自行定义标签

            (4).XML 具有自我描述性

        XML 的语法规则：

            (1).XML 必须有一个根元素

            (2).XML 必须有关闭标签

            (3).XML 标签对大小写敏感

            (4).XML 元素必须正确的嵌套

            (5).XML 属性值必须加引号

        XML DTD（文档类型定义）的作用是定义 XML 文档的合法构建模块。它使用一系列的合法元素来定义文档结构。DTD 可以在 XML 文档内声明，也可以外部引用。

        （1）内部声明：<!DOCTYPE 根元素 [元素声明]>，例如 <!DOCTYPE note aaa>

        （2）外部声明：<!DOCTYPE 根元素 SYSTEM "文件名">，例如 <!DOCTYPE root SYSTEM "test.dtd">

    DTD 实体声明：

        （1）内部实体声明

            <!ENTITY 实体名称 “实体的值”>

            示例：

                <!DOCTYPE foo [

                <!ELEMENT foo ANY> <!-- 声明元素 -->

                <!ENTITY test "abcdefg"> <!-- 声明内部实体 -->

                <!ENTITY xxe "Thinking"> <!-- 声明内部实体 -->

                ]>

                <foo>&xxe;&test;</foo>

        （2）外部实体声明

                <!ENTITY 实体名称 SYSTEM “URI/URL”>

                外部实体声明支持的部分协议如下：

<!DOCTYPE foo [

        <!ELEMENT foo ANY >

         <!ENTITY  xxe SYSTEM "file:///c:/windows/win.ini"> <!-- 声明外部实体 -->

]>

<foo>&xxe;</foo>

（3）参数实体声明

            参数实体的引用只能在 DTD 中使用

            ＜！ENTITY % 实体名 “实体内容”＞

            ＜！ENTITY % 实体名 SYSTEM “URI”＞

            详情见：http://www.w3school.com.cn/dtd/index.asp

2.XXE 攻击

        xxe 主要利用 xml 解析器对外部实体的解析去触发攻击，从上面支持的协议列表可以看出，可利用 xxe 去进行命令执行、读取文件、内网探测端口、作为跳板机攻击内网机器等攻击，故危害巨大。

xxe 主要分为两种场景：有回显和无回显。有回显的场景中，可以直接查看到攻击执行的结果。无回显的场景下，只能通过其他手段查看攻击效果。这次主要实验了有回显的情况。

        自己编写个简单的登录场景，登录的参数使用 xml 传输，后端对接收的 xml 参数进行解析，并且返回登录情况。制作个登录，当点击 “登录” 按钮时，使用 ajax 传输 xml 格式的登录信息，

传输的数据格式为：<login><username > 用户名 </username><password > 密码 </password></login>

后端使用 dom4j 去解析传入的 xml 参数，为了实现有回显的效果，我们将传入的 username 回传给前端，并在前端显示出来。

@Controller
@RequestMapping(value="api")
public class XXEController {/*<login><username>aaa</username><password>adfasds</password></login>*/@ResponseBody@RequestMapping(value="loginXml.json"/*,method= RequestMethod.POST*/)public AjaxResponse testXXE(String xml){AjaxResponse ajaxResponse = new AjaxResponse();try {Document document = DocumentHelper.parseText(xml);Element rootEle = document.getRootElement();String username = rootEle.elementTextTrim("username");//String password = rootEle.elementTextTrim("password");ajaxResponse.setCode(210);ajaxResponse.setMsg("登录失败");ajaxResponse.setContent(username);}catch (Exception e){e.printStackTrace();ajaxResponse.setCode(211);ajaxResponse.setMsg("数据处理失败");}return ajaxResponse;}}

正常登陆时，传输的参数和回显效果如下：

xml=%3Clogin%3E%3Cusername%3Eadmin%3C%2Fusername%3E%3Cpassword%3Etest123%3C%2Fpassword%3E%3C%2Flogin%3E

使用 xxe 攻击时，攻击示例代码如下，此代码读取 c:/windows/win.ini 文件

<!DOCTYPE foo 
[<!ELEMENT foo ANY>
<!ENTITY abc SYSTEM "file:///c:/windows/win.ini">]>
<login><username>&abc;</username><password>fdsf</password></login>

修改参数和回显效果如下：

3. 防御措施    

        关于防御措施，第一种可以关闭 xml 解析器外部解析功能，第二种进行过滤，例如过滤掉！、DOCTYPE、SYSTEM、ENTITY 等关键字

        尝试下第二种方案，过滤关键字。后端代码如下，将部分关键字过滤掉。

@Controller
@RequestMapping(value="api")
public class XXEController {/*<login><username>aaa</username><password>adfasds</password></login>*/@ResponseBody@RequestMapping(value="loginXml.json"/*,method= RequestMethod.POST*/)public AjaxResponse testXXE(String xml){AjaxResponse ajaxResponse = new AjaxResponse();try {//过滤部分关键字，防止XXEString newXml = xml.replace("!","").replace("DOCTYPE","").replace("ELEMENT","").replace("ENTITY","");Document document = DocumentHelper.parseText(newXml);Element rootEle = document.getRootElement();String username = rootEle.elementTextTrim("username");//String password = rootEle.elementTextTrim("password");ajaxResponse.setCode(210);ajaxResponse.setMsg("登录失败");ajaxResponse.setContent(username);}catch (Exception e){e.printStackTrace();ajaxResponse.setCode(211);ajaxResponse.setMsg("数据处理失败");}return ajaxResponse;}}

可以看到，将关键字过滤（替换成 “”），会导致传入的数据不符合 xml 的格式，后端在 xml 解析器在解析数据时，直接出错并跳转到异常处理代码段，证明这样过滤是有效的。以上为一次简单的研究 xxe，后续有待深入研究。