XML 外部实体注入漏洞
XML(可扩展标记语言)
XML 的定义
XML(eXtensible Markup Language,扩展标记语言)是一种用于描述结构化数据的标记语言,它类似于 HTML,但它的标签是自定义的。XML 的主要目的是传输和存储数据,而不是显示数据。
XML 的语法
XML文档由元素、属性、文本、CDATA、注释、处理指令和实体组成。
基本结构:
1 |
|
主要组件:
- XML声明:定义XML版本和编码方式,如
<?xml version="1.0" encoding="UTF-8"?>
。 - 元素:数据的基本单位,如
<element>Text content</element>
。 - 属性:为元素提供附加信息,如
<element attribute="value">
。 - 文本:元素包含的内容,如
Text content
。 - 注释:用于说明的注释文本,如
<!-- This is a comment -->
。
DTD(文档类型定义)
DTD 的定义
DTD(Document Type Definition,文档类型定义)用于定义 XML 文档的结构和合法元素。DTD 可以在 XML 文档内部定义,也可以引用外部 DTD 文件。通过 DTD,可以定义元素、属性、实体和注释等。
DTD(文档类型定义)中主要包括以下几种类型的内容:
- 元素类型(Element Type):用于定义元素及其内容模型。
- 属性列表类型(Attribute List Type):用于定义元素的属性。
- 实体类型(Entity Type):用于定义和重用文本片段。
- 符号声明(Notation Declaration):用于定义非 XML 数据类型。
以下是一个综合示例,展示了如何在 DTD 中使用元素声明、属性声明和实体声明。不过针对 XXE 这里只需要关注「实体类型」即可。
1 |
|
DTD 在 XML 中的声明
在 XML 文档中,可以通过内部和外部两种方式声明 DTD。
内部 DTD 声明
内部 DTD 在 XML 文档的开头部分声明,包含在 <!DOCTYPE>
声明中。内部 DTD 适用于较小的 XML 文档,便于文档的自包含和管理。
在 XML 中内部 DTD 声明格式如下:
1 |
根据 XML 规范,<!DOCTYPE>
声明中的根元素名称应与实际 XML 文档的根元素名称一致。这样可以确保文档类型定义(DTD)能够正确地约束和验证 XML 文档的结构。
但在实际应用中,许多 XML 解析器对这一点要求并不严格。在某些解析器中,即使 <!DOCTYPE>
声明中的根元素名称与实际 XML 文档的根元素名称不一致,解析器仍然会正常处理 XML 文档。这种情况通常出现在宽松的解析器或非严格验证模式下。
简而言之大多数情况下根元素可以随便起名。
下面是一个示例:
1 |
|
在上述示例中,内部 DTD 定义了 note
元素及其子元素 to
、from
、heading
和 body
。每个子元素都是 PCDATA(Parsed Character Data),表示可以包含文本数据。
外部 DTD 声明
外部 DTD 存储在单独的文件中,可以在 XML 文档中通过引用方式来使用。外部 DTD 适用于多个 XML 文档共享相同的 DTD 定义,便于维护和更新。
在 XML 中外部 DTD 声明格式如下(即内部 DTD 声明的 [元素声明]
替换为 SYSTEM "文件名"
):
1 |
下面是一个示例:
外部 DTD 文件:note.dtd
1 |
XML 文档引用外部 DTD 文件
1 |
|
在上述示例中,<!DOCTYPE note SYSTEM "note.dtd">
表示XML文档使用外部的 note.dtd
文件定义文档的结构。
DTD 实体的类型
DTD 实体是一种在 XML 文档中定义和引用数据的机制。实体可以看作是文本的占位符或变量,它们允许在文档中定义一次并在多处使用。DTD 实体主要用于简化文档的编写和维护,避免重复输入相同的文本或结构,确保数据的一致性。
DTD 实体分为普通实体和参数实体两种类型。每种类型又分为内部实体和外部实体两种。
普通实体
普通实体既可以在 XML 也可以在 DTD 中引用。
内部实体通过
<!ENTITY>
声明,主要用于定义并直接替换的文本,格式如下:1
例如:
1
外部实通过
<!ENTITY>
声明,并使用SYSTEM
关键字指定外部资源的 URI。外部资源可以是文本文件、图像或其他数据,体格式如下:1
例如:
1
参数实体
参数实体是一种特殊的实体,用于在DTD中简化和重用定义。它具有以下特性:
- 参数实体只能在DTD中引用和使用:参数实体的定义和引用都必须在DTD中,不能在 XML 文档的主体部分使用。它们用于简化 DTD 的定义,使 DTD 更加模块化和可维护。
- 参数实体在本质上类似于编程语言中的宏定义:在 DTD 中引用参数实体时,会将参数实体的值替换到引用的位置。这种替换机制使得 DTD 更具灵活性和可重用性。
- 参数实体可以划分为内部实体和外部实体:内部实体是在 DTD 中直接定义值的实体,而外部实体是通过 URI 引用外部资源的实体。参数实体的唯一区别是它们的使用范围仅限于 DTD 内部。
参数实体可以是内部实体或外部实体,通过 %
符号进行声明和引用(注意 % 和实体名称之间要有空格),格式如下:
1 |
例如:
1 |
DTD 实体的引用
特殊符号
在 XML 中,一些字符拥有特殊的意义,如果把这些直接放进 XML 元素中会产生错误。为了避免这个错误,我们可以用实体引用来替代这些特殊的字符。比如在 XML 中有 5 个预定义的实体引用:
- **
&
**:表示字符&
,用于表示与符号。 - **
<
**:表示字符<
,用于表示小于号。 - **
>
**:表示字符>
,用于表示大于号。 - **
"
**:表示字符"
,用于表示双引号。 - **
'
**:表示字符'
,用于表示单引号。
另外在 DTD 中,还有一些字符也是有特殊含义的,因此如果是要将参数实体引用到 DTD 中除了前面提到的 5 个预定义的实体引用外,还需要将参数实体的值中的一些特殊字符进行转义:
- **
%
**:引用参数实体的标记,需要转义为%
。 ;
:表示实体引用的结束符。这个符号不需要转义,但必须正确使用。
引用普通实体
普通实体引用是通过 &
符号进行的。引用实体时,需要使用实体名,并以 ;
结束。
1 |
|
在上述示例中:
&author;
引用内部实体author
,其值为John Doe
。&logo;
引用外部实体logo
,其值为logo.png
。
引用参数实体
1 |
在上述示例中,参数实体 %part1;
、%part2;
、%part3;
和 %part4;
分别定义了 to
、from
、heading
和 body
元素,便于在 DTD 中重用。
参数实体的引用有如下特点:
对于 XML 内部 DTD 声明,无论是内部参数实体还是外部参数实体,只有独立引用可以正确引用,而在外部实体的 URI 或内部的值中引用都会引用失败。
对于外部 DTD 声明限制比较宽松,除了外部实体的 URL 外都可引用。其中可以引用参数实体的内部实体可以是参数实体。
注意对于「URI 中引用参数实体的内部参数实体」这里 URI 中引用参数实体是否有限制取决于定义「URI 中引用参数实体的内部参数实体」的定义位置,而不是「URI 中引用参数实体的内部参数实体」的引用位置。当然这种特性也可以理解为:如果发生在「内部 DTD 声明」中引用「URI 中引用参数实体的内部参数实体」那么说明「URI 中引用参数实体的内部参数实体」所在的外部 DTD 已经通过「外部实体」引用到「内部 DTD 声明」中了,因此「URI 中引用参数实体的内部参数实体」无论引用到外部 DTD 还是「内部 DTD 声明」中都是等价的。
- 外部 DTD 声明与外部参数声明引用外部 DTD 在功能上等价。
1
2
3
4
5
6不过「外部参数声明引用外部 DTD」这种方法可以(部分)无视程序中「禁用外部 DTD 声明」的限制,另外这种方法相当于将外部的 DTD 内联进来,因此可以在接下来引用外部 DTD 中的参数实体,但在引用参数实体的限制上方面与内部 DTD 声明同样严格。
另外参数实体引用还有一个坑点,如果是独立引用两个参数实体写在一行中间必须要有空格分隔开,例如:
1
%参数实体1; %参数实体2;
XML 外部实体注入
XML 外部实体注入(XML External Entity Injection,简称 XXE)是一种攻击技术,利用 XML 解析器在解析外部实体时的漏洞,执行恶意操作。攻击者可以通过 XXE 攻击读取文件系统中的敏感信息、进行网络探测、甚至执行远程代码。
XML 注入方法
外部 DTD 声明注入
通过外部 DTD 声明引入 DTD 然后将引入的 DTD 的实体注入到 XML 代码中。
这里举一个任意文件读的例子。首先发送的 XML 文本如下,其中有一个外部 DTD 声明指向了 http://attacker.com/xxe.dtd
。
1 |
|
http://attacker.com/xxe.dtd
中有一个外部实体,值为 /etc/passwd
的文件内容。
1 |
如果提交 XML 文档后服务器会回显其解析后的内容则能够成功读取 /etc/passwd
的文件。
外部实体注入
外部实体注入可以适用于一些限制外部 DTD 声明注入的情境。我们直接在 XML 文档中添加内部 DTD 声明,然后在内部 DTD 声明中添加外部实体即可。效果与外部 DTD 声明注入相同。
1 |
|
Blind XXE
如果提交 XML 文档后服务器不会回显其解析后的内容,那么需要利用 XML 解析时的特性来将数据回传,这就是 Blind XXE 技术。
Blind XXE 技术依赖于参数实体引用,因为Blind XXE 技术的本质就是通过参数实体引用把要回传的数据替换到另一个外部参数实体 URL 参数中实现数据回传。
为了能够做到这一点,根据参数实体引用的特性,我们首先需要将参数实体引用定义到外部 DTD(内部 DTD 声明中不能在内部实体的值中引入参数实体,外部 DTD 没有这个限制),然后利用外部实体注入(也可以使用外部 DTD 声明注入,只不过外部实体注入适用范围更广)将该 DTD 引入 XML 文档。
1 |
|
在 xxe.dtd
中我们定义了 %read
参数实体,引用该实体就能将目标文件内容的 base64 形式替换到引用处。
根据参数实体引用的特性,即便是外部 DTD 也不能在 URI 中引用参数实体,因此需要先将外部实体 %send
用另一个内部参数实体 %write
表示,这样就可以将 %send
对应的值替换到 %write
表示的外部实体 %send
的 URL 中。
在 DTD 中引用 %write
就可以将替换后的外部实体 %send
引入到 DTD 文档中。
这里假定 %send
是参数实体,那么在 DTD 中引用 %send
则 XML 解析器就会根据 %send
对应的 URI 取请求 %send
的值,在这个过程中 %read
的值作为参数传到了 www.attacker.com
。
1 |
|
在理解原理之后我们可以很轻松的写出上述 payload 的一些变种。
例如我们可以将 send
由参数实体改为普通实体:
1 |
此时我们只需要在 XML 文档中引用 send
就可以实现同样效果:
1 | <foo>&send;</foo> |
根据参数实体引用的特性,引用参数实体的时机也不是那么固定,我们可以在 XML 中的内部 DTD 声明中引用 %write
和 %send
,但是要确保引用 %send
前 %write
已经在外部 DTD 或者 XML 中已经被引用过了。
1 |
XML 注入应用
XXE 的核心就是泄露,因此下面介绍的主要是在有任意 URI 读取的情况下我们可以做什么。
文件泄露攻击
文件泄露攻击是 XXE 攻击中最常见的一种。攻击者通过注入一个外部实体,该实体指向服务器上的文件。解析器在解析这个外部实体时,会将文件的内容返回给攻击者。
1 |
|
这个 XML 文档会尝试读取服务器上的 /etc/passwd
文件,并将其内容包含在返回的 XML 文档中。
服务器端请求伪造(SSRF)
服务器端请求伪造攻击利用 XXE,使解析器向内网或其他服务器发送请求。攻击者可以利用这种方式访问内网服务或进行其他网络攻击。
1 |
|
这个 XML 文档会使解析器向 http://internal-service.local/secret
发送请求,并将响应包含在返回的XML文档中。
本地端口扫描
攻击者可以利用XXE来使服务器对其自身进行端口扫描,以检测内部网络服务。
1 |
|
这个 XML 文档会使解析器尝试连接本地的 22 端口(通常是 SSH 服务),从响应中可以判断该端口是否开放。
拒绝服务(DoS)
如果禁用外部实体加载那么就无法泄露,但是我们仍然可以进行拒绝服务攻击。通过XXE攻击,可以构造递归实体,使解析器陷入无限循环,从而耗尽系统资源,导致拒绝服务(DoS)攻击。
不过现代 XML 解析器都具有循环实体引用检测功能,以防止 DoS 攻击。因此,即使尝试在 XML 中使用循环实体引用来引发 DoS 攻击,解析器也会检测并阻止这种行为,确保系统安全。
1 |
|
1 |
|
- Title: XML 外部实体注入漏洞
- Author: sky123
- Created at : 2024-11-09 14:49:13
- Updated at : 2024-11-20 03:34:02
- Link: https://skyi23.github.io/2024/11/09/XML 外部实体注入漏洞/
- License: This work is licensed under CC BY-NC-SA 4.0.