Java代码审计-XMI注入（XXE）

1 XML 注入攻击

1.1 XML漏洞攻击原理

1.1.1 什么是XML

XML 指可扩展标记语言（EXtensible Markup Language）。

XML 是一种很像HTML的标记语言。

XML 的设计宗旨是传输数据，而不是显示数据。

XML 标签没有被预定义。您需要自行定义标签。

XML 被设计为具有自我描述性。

XML 是 W3C 的推荐标准。

1.1.2 XML注入漏洞原理

使用不可信数据来构造XML会导致XML注入漏洞也成称为XXE漏洞。一个用户，如果他被允许输入结构化的XML片段，且输入的片段未做任何防御措施，则他可以在XML的数据域中注入XML标签来改写目标XML文档的结构与内容。XML解析器会对注入的标签进行识别和解释。

1.2 XML注入基础知识

1.2.1 DTD

首先先来了解一下DTD含义。DTD（文档类型定义，Document Type Definition）的作用是定义 XML
文档的合法构建模块。它使用一系列的合法元素来定义文档结构。DTD可被成行的声明于XML文档中，也可作为一个外部引用

1.2.2 实体ENTITY

XML中的实体类型，一般有下面几种：字符实体、命名实体（或内部实体）、外部普通实体、外部参数实体。除外部参数实体外，其它实体都以字符（&）开始，以字符（;）结束。

• 字符实体

字符实体类似html中的实体编码，形如：a（十进制）或者a（十六进制）。

• 命名实体（内部实体）

内部实体又称为命名实体。命名实体可以说成是变量声明，命名实体只能声明在DTD或者XML文件开始部分（<!DOCTYPE>语句中）。

命名实体（或内部实体）语法：

<!ENTITY 实体名称 "实体的值">

如：

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE root [

<!ENTITY x "xxe1">

<!ENTITY y "xxe2">

]>

<root><x>&x;</x><y>&y;</y></root>

定义实体名称x和y 值为xxe1和xxe2!

&x; 引用实体x；&y引用实体y

• 外部普通实体

外部实体用于加载外部文件的内容。（显式XXE攻击主要利用外部普通实体）

外部普通实体语法：

<!ENTITY 实体名称 SYSTEM "URI/URL">

如：

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPe root [

<!ENTITY outfile SYSTEM "outfile.xml">

]>

<root><outfile>&outfile;</outfile></root>

• 外部参数实体

参数实体用于DTD和文档的内部子集中。与一般实体不同，是以字符（%）开始，以字符（;）结束。只有在DTD文件中才能在参数实体声明的时候引用其他实体。（Blind
XXE攻击常利用参数实体进行数据回显）

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE root [

<!ENTITY % p1"hello">

<!ENTITY % p2 " ">

<!ENTITY % p3 "jj">

<!ENTITY dtd SYSTEM "combine.dtd">

%dtd;

]>

<root><foo>&content</foo></root>

combine.dtd中的内容为：

<!ENTITY content "%param1;%param2;%param3;">

上面combine.dtd中定义了一个基本实体，引用了3个参数实体：%p1;，%p2;，%p3;。

解析后…中的内容为hello jj。

1.3 XML注入审计函数

一般在传输数据接口和导入配置等场景可能会用到XML解析，若涉及到XML文件处理的场景要查看是否禁用DTD外部实体，来判断是否存在XXE。常用XML审计函数如下，可搜索如下关键字：

javax.xml.parsers.DocumentBuilderFactory;

javax.xml.parsers.SAXParser

javax.xml.transform.TransformerFactory

javax.xml.validation.Validator

javax.xml.validation.Schema