01 漏洞描述
XXE(XML External Entity Injection)是一种针对XML终端实施的入侵,漏洞产生的根本原因就是在XML1.0标准中引入了“entity”这个概念,且“entity”可以在预定义的文档中进行调用,XXE漏洞的利用就是通过实体的标识符访问本地或者远程内容。
黑客想要实施这种入侵,需要在XML的payload包含外部实体声明,且服务器本身允许实体扩展。这样的话,黑客或许能读取WEB服务器的文件系统,通过UNC路径访问远程文件系统,或者通过HTTP/HTTPS连接到任意主机。
02 审计要点
XXE漏洞发生的根本原因是"用户可控的"、”服务器允许的实体拓展”被服务器解析。
因此,XXE代码审计的重点落脚于以下两点:
1、参数是否用户可控,用户是否可以控制输入的XML内容,服务端是否对用户输入的内容进行校验?
2、XML解析是否禁止了外部实体的解析?用户定义的外部实体声明是否会被服务器解析?
03 漏洞特征
XXE漏洞发生于XML解析的过程,若解析过程中没有限制doctype、entity等节点实体的解析,就会产生XML外部实体解析漏洞。
Java
InputStream xml=request.getInputStream();
DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
DocumentBuilder builder = factory.newDocumentBuilder();
InputSource is = new InputSource(xml);
Document doc = builder.parse(is);
Element element = doc.getDocumentElement();
NodeList nodes = element.getChildNodes();
out.print("<br/>Result:<br/>");
out.print("---------------------<br/>");
for (int i = 0; i < nodes.getLength(); i++) {
out.print(nodes.item(i).getNodeName()+" : " +
nodes.item(i).getFirstChild().getNodeValue().toString());
out.print("<br/>");
}PHP
<?php
$data = file_get_contents('php://input');
$xml = simplexml_load_string($data);
echo $xml->name;
?>客户端构造以下payload即可实现XML外部实体的注入:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<root>
<name>&xxe;</name>
</root>04 漏洞案例
在代码中搜索“xml”或“DocumentBuilder”等字符,搜索出所有的与XML解析操作相关的代码,查看是否存在未设置禁止XML外部实体解析的情况,以及XML数据来源用户是否可控的情况。
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<root>
<name>&xxe;</name>
</root>当服务器后端对于XML解析的过程为以上逻辑时,存在XXE外部实体注入漏洞,漏洞验证如下:
05 修复方案
1、严格检查用户输入的字符。
2、检查使用的底层XML解析库,使用JAVA语言提供的禁用外部实体的方法:DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false)。
3、操作XML时对格式字符进行转义处理。
4、升级到较新的解析jar包,如Apache poi、xlsx-streamer.jar、poi-ooxml等第三方jar包。
