XML外部实体(XXE)注入
翻译
原文:https://portswigger.net/web-security/xxe
- name: 翻译
desc: 原文:https://portswigger.net/web-security/xxe
bgColor: '#F0DFB1'
textColor: 'green'
2
3
4
# 0XML外部实体(XXE)注入
在本节中,我们将解释什么是 XML外部实体注入,描述一些常见的示例,解释如何发现和利用各种 XXE 注入,并总结如何防止 XXE 注入攻击。
# 1什么是XML外部实体注入?
XML外部实体注入(也称为XXE)是一个 Web 安全漏洞,它允许攻击者干扰应用程序对 XML 数据的处理。它通常允许攻击者 查看应用程序服务器文件系统上的文件,并与应用程序本身可以访问的任何后端 或 外部系统进行交互。
在某些情况下,攻击者可以利用 XXE 漏洞执行服务端请求伪造(SSRF)攻击,从而升级 XXE 攻击来危害底层服务器或其他后端基础设施。
实验室
如果您已经熟悉 XXE漏洞 背后的基本概念,并且只想在一些实际的、易受攻击的目标上练习和利用它们,那么您可以从下面的链接访问本主题中的所有实验室。
# 2XXE漏洞是如何产生的?
一些应用程序使用 XML 格式在浏览器和服务器之间传输数据。执行此操作的应用程序,几乎总是使用标准库或平台 API 来处理服务器上的 XML 数据。XXE 漏洞的出现,是因为 XML 规范中包含各种潜在的危险特性,而标准解析器支持这些特性,即使应用程序通常不会用到这些特性及功能。
XML 外部实体是一种自定义的 XML 个体,其定义的值是从声明它们的 DTD 外部加载的。从安全角度来看,外部实体特别有趣,因为它们允许 “基于文件路径或 URL 的内容” 来定义实体。
# 3XXE攻击有哪些类型?
有各种类型的 XXE 攻击:
- 利用 XXE 检索文件 (opens new window),其中定义了 包含文件内容 的外部实体,并在应用程序的响应中返回。
- 利用 XXE 执行 SSRF 攻击 (opens new window),其中,外部实体是根据后端系统的 URL 来定义的。
- 利用盲 XXE 实现带外泄露数据 (opens new window),其中,敏感数据从应用程序服务器 传输到 攻击者控制的系统上。
- 利用盲 XXE 的错误消息来检索数据 (opens new window),其中,攻击者可以触发 包含敏感数据 的错误消息解析。
# 4利用XXE检索文件
想要执行 XXE 注入攻击 并 从服务器文件系统中检索任意文件,你需要通过两种方式修改提交的 XML:
- 引入(或编辑)一个
DOCTYPE元素,该元素定义了包含文件路径的外部实体。 - 编辑应用程序响应中返回的 XML 数据值,以使用定义的外部实体。
例如,假设有一个购物应用程序,它向服务器提交以下 XML 来检查产品的库存情况:
<?xml version="1.0" encoding="UTF-8"?>
<stockCheck><productId>381</productId></stockCheck>
2
该应用程序不会对 XXE 攻击执行任何特定的防御措施,因此你可以利用 XXE 漏洞,提交以下有效负载来检索/etc/passwd文件:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<stockCheck><productId>&xxe;</productId></stockCheck>
2
3
这个 XXE 负载定义了一个外部实体&xxe;,它的值是/etc/passwd文件的内容,并将值传递给productId值中的实体。这会导致 在应用程序的响应中包含文件内容:
Invalid product ID: root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
...
2
3
4
笔记
对于真实的 XXE 漏洞,提交的 XML 中通常存在大量的数据值,其中任何一个值 都可能在应用程序的响应中回显。要系统地测试 XXE 漏洞,通常需要单独测试 XML 中的每个数据节点,方法是 使用定义的实体并查看它是否出现在响应中。
- name: 实验室-学徒
desc: 利用XXE并通过外部实体检索文件 >>
avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
link: https://portswigger.net/web-security/xxe/lab-exploiting-xxe-to-retrieve-files
bgColor: '#001350'
textColor: '#39d50c'
2
3
4
5
6
# 5利用XXE进行SSRF攻击
除了检索敏感数据之外,XXE 攻击的另一个主要影响是,它们可用于执行服务端请求伪造(SSRF)。这是一个潜在的严重漏洞,它可以诱导服务器端应用程序 向 服务器可以访问的任何 URL 发出 HTTP 请求。
若要利用 XXE 漏洞执行SSRF攻击 (opens new window),你需要针对目标 URL 来定义外部 XML 实体,并在数据值中使用定义好的实体。如果你可以在 具有回显的数据值中 使用定义的实体,则你可以在应用程序的响应中查看来自 URL 的响应,从而获得与后端系统的双向交互。如果没有回显,你就只能进行盲SSRF (opens new window)攻击(这仍然可能产生严重后果)。
在下面的 XXE 示例中,外部实体将导致服务器 向 组织基础设施中的内部系统发出后端 HTTP 请求:
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "http://internal.vulnerable-website.com/"> ]>
- name: 实验室-学徒
desc: 利用XXE进行SSRF攻击 >>
avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
link: https://portswigger.net/web-security/xxe/lab-exploiting-xxe-to-perform-ssrf
bgColor: '#001350'
textColor: '#39d50c'
2
3
4
5
6
# 6盲XXE漏洞
XXE 漏洞的许多实例都是盲性的。这意味着应用程序不会在其响应中 返回任何已定义的外部实体参数值,因此无法直接检索服务器端文件。
盲XXE漏洞 仍然可以被检测和利用,但需要更高级的技术。有时可以使用 带外技术 来查找漏洞并利用它们来泄露数据。而有时则可能会触发 XML 解析错误,从而导致错误消息中的敏感数据泄露。
# 7寻找XXE注入的隐藏攻击面
在许多情况下,XXE 注入漏洞的攻击面很明显,因为应用程序的正常 HTTP 流量中包含 XML 格式数据的请求。但在其他情况下,攻击面不太明显。然而,如果查找到了正确的位置,则会在不包含任何 XML 的请求中找到 XXE 攻击面。
# 7.1XInclude攻击
(译者加:SOAP 是基于 XML 的简易协议,可用于访问网络服务,使应用程序在 HTTP 之上进行信息交换。 - 菜鸟教程 (opens new window))
一些应用程序接收客户端提交的数据,并将其嵌入到服务器端的 XML 文档中,然后解析该文档。例如,客户端提交的数据被放入后端 SOAP 请求中,然后由后端 SOAP 服务来处理该请求。
在这种情况下,你无法执行经典的 XXE 攻击,因为你不能控制整个 XML 文档,因此无法定义或修改DOCTYPE元素。但是,你可以使用XInclude来代替。XInclude是 XML 规范的一部分,它允许从子文档构建 XML 文档。你可以在 XML 文档内的任意数据项中植入XInclude攻击,因此,当你控制服务器端 XML 文档中的单个数据项时,可以执行该攻击。
若要执行XInclude攻击,你需要引用XInclude命名空间并提供希望包含的文件的路径。例如:
(译者加:和 HTML 特别特别像)
<foo xmlns:xi="http://www.w3.org/2001/XInclude">
<xi:include parse="text" href="file:///etc/passwd"/></foo>
2
- name: 实验室-从业者
desc: 利用XInclude检索文件 >>
avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
link: https://portswigger.net/web-security/xxe/lab-xinclude-attack
bgColor: '#001350'
textColor: '#4cc1ff'
2
3
4
5
6
# 7.2通过文件上传进行XXE攻击
(译者加:.doc和.svg等文件的内容都是以 XML 为基础的)
一些应用程序允许用户上传文件,然后在服务器端进行处理。一些常见的文件格式会使用 XML 或包含 XML 的子组件。基于 XML 格式的示例文件,包括 DOCX 等办公文档格式和 SVG 等图像格式。
例如,应用程序可能允许用户上传图像,上传之后会在服务器上处理或验证这些图像。虽然应用程序希望接收 PNG 或 JPEG 等格式,所使用的图像处理库也可能支持 SVG 图像。但由于 SVG 格式使用 XML,攻击者可以提交恶意 SVG 图像,从而实现 XXE 漏洞的隐藏攻击面。
- name: 实验室-从业者
desc: 通过上传图像文件利用XXE >>
avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
link: https://portswigger.net/web-security/xxe/lab-xxe-via-file-upload
bgColor: '#001350'
textColor: '#4cc1ff'
2
3
4
5
6
# 7.3通过修改内容类型进行XXE攻击
大多数 POST 请求会使用由 HTML 表单生成的默认内容类型,例如application/x-www-form-urlencoded。某些网站期望接收这种格式的请求,但同时也允许其他内容类型,包括 XML 。
例如,如果正常请求包含以下内容:
POST /action HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 7
foo=bar
2
3
4
5
然后,你可以尝试提交以下请求,返回的结果相同:
POST /action HTTP/1.0
Content-Type: text/xml
Content-Length: 52
<?xml version="1.0" encoding="UTF-8"?><foo>bar</foo>
2
3
4
5
如果应用程序允许消息正文中包含 XML 的请求,并将正文内容解析为 XML,那么只需将请求重新格式化为 XML 格式的数据,即可实现隐藏的 XXE 攻击面。
# 8如何查找和测试XXE漏洞
绝大多数 XXE 漏洞都可以使用 Burp Suite 的Web 漏洞扫描程序 (opens new window)快速可靠地发现。
手动测试 XXE 漏洞通常涉及:
- 测试文件检索 (opens new window),基于已知的操作系统文件 来定义外部实体,并在可回显的数据中使用该实体。
- 测试盲 XXE 漏洞 (opens new window),基于你所控制的 URL 来定义外部实体,并监视与该 URL 的交互。Burp Collaborator (opens new window)非常适合此目的。
- 通过XInclude 攻击 (opens new window)尝试检索已知的操作系统文件,测试服务器端 XML 文档中是否包含用户提供的非 XML 数据,以及提供该数据时的易受攻击性。
笔记
请记住,XML 只是一种数据传输格式。在任何基于 XML 的功能中,不要单单测试 XXE 漏洞,确保你还针对其他漏洞(例如XSS (opens new window)和SQL注入 (opens new window))进行了测试。你可能需要使用 XML转义序列 来对有效负载进行编码,以避免破坏语法,但你也可以使用它来混淆攻击 (opens new window),以绕过脆弱的防御。
# 9如何防范XXE漏洞
实际上,几乎所有 XXE 漏洞的出现都是因为,应用程序的 XML 解析库支持某些潜在的危险 XML 功能,而应用程序通常不需要这些功能。防止 XXE 攻击最简单、最有效的方法是禁用这些功能。
通常,“禁用外部实体的解析” 并 “禁用对XInclude的支持” 就足够了。这可以通过 配置选项或编程方式 覆盖默认行为来完成。有关如何 禁用不必要功能 的详细信息,请参阅 XML 解析库或 API 的文档。