xxe漏洞检测及代码执行过程

　　　这两天看了ｘｘｅ漏洞，写一下自己的理解，ｘｘｅ漏洞主要针对ｗｅｂｓｅｒｖｉｃｅ危险的引用的外部实体并且未对外部实体进行敏感字符的过滤，从而可以造成命令执行，目録遍历等．首先存在漏洞的ｗｅｂ服务一定是存在ｘｍｌ传输数据的，可以在ｈｔｔｐ头的ｃｏｎｔｅｎｔ－ｔｙｐｅ中查看，也可以根据ｕｒｌ一些常见的关键字进行判断测试，例如ｗｓｄｌ（ｗｅｂ服务描述语言）．或者一些常见的采用ｘｍｌ的ｊａｖａ服务配置文件（ｓｐｒｉｎｇ，ｓｔｒｕｔｓ２）．不过现实中存在的大多数ｘｘｅ漏洞都是ｂｌｉｎｄ，即不可见的，必须采用带外通道进行返回信息的记录，这里简单来说就是攻击者必须具有一台具有公网ｉｐ的主机．

　　　首先要明白ｘｘｅ漏洞是如何读取文件的

&name;

此时服务器会在ｒｏｏｔ节点返回 /etc/passwd的内容，整个代码运行流程是name实体加载本地文件并且文件返回值被赋给name．如果没有回显则可以利用带外通信进行测试．

　　　首先观察这个ｈｔｔｐ包,在包头中可以观察到文件接收者以ｘｍｌ的形式读取文件，符合ｘｘｅ漏洞的条件，然后服务器会正常返回在ｂｏｄｙ中ｐｏｓｔ过去的ｘｍｌ代码执行内容．此时就可以构造恶意的ｘｍｌ代码，可以看见服务器仍是正常返回，说明在服务器端并没有进行过滤，因此可以初步确定此应用存在ｘｘｅ漏洞（非ｂｌｉｎｄ的ｘｘｅ）．

 　　　针对ｂｌｉｎｄ的ｘｘｅ，可以构造如下ｘｍｌ恶意代码：

%remote;%ppp;%send;
]>

 这个是用于直接在http body中提交的恶意xml代码，它会去调用位于我们的主机上的外部dtd文件(不在同一个文件写入要读取的文件主要是为了避免参数实体引用时发生的错误）

以下是eval.dtd的内容：

１ENTITY %name SYSTEM "file://etc/passwd">

2 ENTITY %ppp ">">

整个执行流程如下：首先加载参数实体remote，此时会远程加载攻击者主机上的外部实体，然后加载ppp参数实体， 接下来加载send实体，此时就是关键点，就是用于记载服务器端的返回内容（通过ｇｅｔ查询方式会在攻击者的服务器日志中留下记录），查询的字符串ｐ的值便是参数实体name的值．

以上便是xxe漏洞的基本流程

手工检测方法：

1 xml version="1.0" encoding="UTF-8"?>
2  DOCTYPE any[
3 >
4 ]>
5 <root>
6 &shit;
7 root>

如果在返回了this is a test 则继续测试是否可以加载外部实体

1 xml version=”1.0” encoding=”UTF-8”?>  
2   
3 DOCTYPE ANY [  
4   
5 >  
6   
7 %shit;  
8   
9 ]> 

通过查看自己服务器上的日志来判断，看目标服务器是否向你的服务器发了一条请求evil.xml的HTTP request。

（3）如果上面两步都支持，那么就看能否回显。如果能回显，就可以直接使用外部实体的方式进行攻击。当然有时候服务器会不支持一般实体的引用，也就是在DTD之外无法引用实体，如果这样的话，只能使用Blind XXE攻击。

（4）如果不能回显，毫无疑问，使用Blind XXE攻击方法。

网上已经有可以自动检测ｘｘｅ漏洞的开源工具　ｘｘｅｉｎｊｅｃｔｏｒ

下载方法：
git clone https://github.com/enjoiz/XXEinjector.git

补救措施：

　　　　　　ｘｘｅ漏洞存在是因为XML解析器解析了用户发送的不可信数据。然而，要去校验DTD(document type definition)中SYSTEM标识符定义的数据，并不容易，也不大可能。大部分的XML解析器默认对于XXE攻击是脆弱的。因此，最好的解决办法就是配置XML处理器去使用本地静态的DTD，不允许XML中含有任何自己声明的DTD。通过设置相应的属性值为false，XML外部实体攻击就能够被阻止。因此，可将外部实体、参数实体和内联DTD 都被设置为false，从而避免基于XXE漏洞的攻击。