XML和XXE基础

1.0 XML和XXE简介

简介：XML（eXtensible Markup Language）是一种可扩展标记语言，它是由万维网联盟

（W3C）制定的标准格式，主要用于数据存储、传输以及文档结构的描述。XML的设计目的

是为了提供一种灵活且结构化的数据交换手段，使得数据能够在不同的系统和应用程序之间

方便地共享。

和HTML区别：XML被设计为传输和存储数据，其焦点是数据的内容

XML External Entity (XXE) 是一种针对XML处理程序的安全漏洞，这种漏洞出现在应用程序

解析XML输入的过程中，当程序未能禁用或者适当地管理XML外部实体引用时，攻击者能够

通过构造恶意的

XML文档，注入外部实体声明并触发服务器解析该实体，从而达到以下目的：

文件读取：攻击者可以定义一个外部实体，指向服务器本地或网络可达的任意文件，借此读

取敏感文件内容，如配置文件、日志文件甚至密码文件等。

服务器端请求伪造 (SSRF)：如果外部实体允许发起网络请求，攻击者可能利用此功能对内部

网络发起探测或攻击。

拒绝服务 (DoS)：通过构造消耗大量资源的实体，可能导致服务器负载过高或崩溃。

盲XXE：即使服务器不返回实体解析的结果，攻击者也可以利用Blind XXE技巧泄露信

息，例如通过发送精心设计的请求观察服务器响应时间的变化，以此推测内部文件是否存

在。

最常见的利用就是利用其进行文件读取

通过XML传递的数据在数据包的header中可以找到相关信息

一般对xml的利用：

客户端：xml发送数据

服务端：xml解析数据

我们可以利用xml写一个带有文件读取的代码尝试发送，类似文件读取功能的实现

这里分享一个很好的博客，有关xml和xxe 这个 把xxe的一些实现和基础都讲的很清楚

1.1 XXE实现文件读取

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "file:etc/passwd" >]>
<root>
<name>&xxe;</name>
</root>

用file协议读取passwd

如果遇见了无回显的情况，可以进行带外测试，利用dnslog平台，从而判断究竟是不存在回

显，还是我们的代码写的有问题，或者说是请求了不存在的文件，如果经过测试确实是

不回显，这时候就得使用下面的技术

1.2 外部引用实体DTD

由于参数实体无法在内部子集中进行调用，我们想要把数据返回道我们自己的服务器就需要

外部引用实体dtd,具体的见我们上面推荐的博客，那个博客讲的很清楚，我就不多加赘述了

1.3 黑盒中的xxe

我们通过数据包判断出传输的是xml数据，就可以尝试去发送xml恶意代码去试试

xxe不仅在数据传输中出现，在文件上传引用插件解析或者预览也会造成文件中的xxe

payload执行

1.4 白盒中的xxe

xxe的搜索方向

1 通过应用功能追踪代码审计

2 通过特定函数搜索定位审计

由于xxe可能用到的地方很多，所以我们主要从特定函数去测试

直接在代码中搜处理xml的解析函数，然后对函数进行分析