漏洞介紹
XXE全稱XML External Entity Injection,也就是XML外部實體注入攻擊,漏洞是對非安全的外部實體數據進行處理時引發的安全問題。要了解XXE,就必須懂得XML的一些規則。
XML是用於標記電子文件使其具有結構性的標記語言,可以用來標記數據、定義數據類型,是一種允許用戶對自己的標記語言進行定義的源語言。XML文檔結構包括XML聲明、DTD文檔類型定義(可選)、文檔元素。
漏洞原理
DTD裏聲明XML外部實體<!ENTITY 實體名稱 SYSTEM “url”>,url內容爲一些敏感的本地文件路徑或攻擊鏈接或127.0.0.1:端口(端口掃描)
漏洞復現
Xml數據:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE name [
<!ENTITY aa SYSTEM "file:///C:/Users/Administrator/Desktop/1.txt" >
]>
<name>&aa;</name>
輸入後效果:1.txt內容被顯示到顯示name的值處
漏洞危害
1.讀取任意文件:外部實體內容爲本地文件路徑
2.URL請求:外部實體內容爲指定url
3.Dos拒絕服務:遞歸調用,佔用大量服務器資源