XXE

---

免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.

---

描述

XXE 就是 XML 外部实体注入。当允许引用外部实体时，通过构造恶意内容，就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。

XML 文档结构包括 XML 声明、DTD 文档类型定义（可选）、文档元素。文档类型定义 (DTD) 的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明，也可以外部引用。

• 内部声明DTD:

• 引用外部DTD:

当允许引用外部实体时，恶意攻击者即可构造恶意内容访问服务器资源, 如读取 passwd 文件：

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE replace [
<!ENTITY test SYSTEM "file:///ect/passwd">]>
<msg>&test;</msg>

XML 基础知识

• XML笔记

相关文章

• XXE 漏洞的学习与利用总结

• XXE 漏洞利用技巧:从 XML 到远程代码执行

• XXE: XML eXternal Entity Injection vulnerabilities

• 浅谈 XXE 攻击

相关案例

• XXE at ecjobs.starbucks.com.cn/retail/hxpublic_v6/hxdynamicpage6.aspx

靶场

• c0ny1/xxe-lab: 一个包含 php,java,python,C# 等各种语言版本的 XXE 漏洞 Demo

• TheTwitchy/vulnd_xxe

payload

• bugbounty-cheatsheet/cheatsheets/xxe.md

---

修复方案

使用 XML 解析器时需要设置其属性，禁止使用外部实体，以 SAXReader 为例，安全的使用方式如下:

sax.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
sax.setFeature("http://xml.org/sax/features/external-general-entities", false);
sax.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

其它XML解析器的安全使用可参考OWASP XML External Entity (XXE) Prevention Cheat Sheet