漏洞经验分享丨Java审计之XXE(下)

上篇内容我们介绍了XXE的基础概念和审计函数的相关内容,今天我们将继续分享Blind XXE与OOB-XXE的知识点以及XXE防御方法,希望对大家的学习有所帮助!

上期回顾 

?漏洞经验分享丨Java审计之XXE(上)

Blind XXE

Blind XXE与OOB-XXE

一般XXE利用分为两大场景:有回显和无回显。有回显的情况可以直接在页面中看到Payload的执行结果或现象(带内XML外部实体(XXE),即攻击者可以发送带有XXE有效负载的请求并从包含某些数据的Web应用程序获取响应),无回显的情况又称为Blind XXE,可以使用外带数据通道提取数据即带外XML外部实体(OOB-XXE)。

以下是攻击者如何利用参数实体使用带外(OOB)技术窃取数据的示例。

request:

XML解析器将首先处理%file加载文件的参数实体/etc/lsb-release。接下来,XML解析器将在http://attacker.com/evil.dtd向攻击者的DTD发出请求。

一旦处理了攻击者的DTD,all%参数实体将创建一个名为&send通用实体; ,其中包含一个包含文件内容的URL(例如http://attacker.com/?collect=DISTRIB_ID=Ubuntu…)。最后,一旦URL构造的&send; 实体由解析器处理,解析器向攻击者的服务器发出请求。然后,攻击者可以在其结尾处记录请求,并从记录的请求中重建文件的内容。

知道何为Blind XXE后,这里再分析一下原理:

Blind XXE原理

带外数据通道的建立是使用嵌套形式,利用外部实体中的URL发出访问,从而跟攻击者的服务器发生联系。

直接在内部实体定义中引用另一个实体的方法如下,但是这种方法行不通。

但是这样做行不通,原因是不能在实体定义中引用参数实体,即有些解释器不允许在内层实体中使用外部连接,无论内层是一般实体还是参数实体。

解决方案是:将嵌套的实体声明放入到一个外部文件中,这里一般是放在攻击者的服务器上,这样做可以规避错误。

如下:payload

nc -lvv port 监听即可获得请求回显内容。

XXE利用

示例无回显读取本地敏感文件(Blind OOB XXE):

此部分演示借用php中XXE进行说明

xml.php

test.dtd

payload:

整个调用过程:我们从 payload 中能看到 连续调用了三个参数实体 %remote;%int;%send;,这就是我们的利用顺序,%remote 先调用,调用后请求远程服务器上的 test.dtd ,有点类似于将 test.dtd 包含进来,然后 %int 调用 test.dtd 中的 %file, %file 就会去获取服务器上面的敏感文件。

将 %file 的结果填入到 %send 以后(因为实体的值中不能有 %, 所以将其转成html实体编码 %),我们再调用 %send; 把我们的读取到的数据发送到我们的远程 vps 上,这样就实现了外带数据的效果,完美的解决了 XXE 无回显的问题。

新的利用:如图所示

注意:

1、其中从2012年9月开始,Oracle JDK版本中删除了对gopher方案的支持,后来又支持的版本是 Oracle JDK 1.7 update 7 和 Oracle JDK 1.6 update 35 。

2、libxml 是 PHP 的 xml 支持。

netdoc协议

另外对于带外XXE还可以通过burp 进行测试如(附上两张图):

关于burp此插件还可在多个场景测试中用到,比如XSS、SQL、SSRF等。

最后,分享一下审计中遇到两个XXE的审计与利用思路过程。

第一处出现在系统使用的org.dom4j.DocumentHelper调用的类函数下。

在源码中搜索关键字DocumentHelper.parseText

得到:

\xxx\***\***.java

Line 303: document = DocumentHelper.parseText(xml);

\xxx\***\XmlParser.java

Line 51: Document doc = DocumentHelper.parseText(xmlStr);

\\xxx\***\***Task.java

Line 350: Document document = DocumentHelper.parseText(result);

\\xxx\***\***Action.java

Line 237: Document document = DocumentHelper.parseText(mapDataForOut);

\\xxx\***\xxxAction.java

Line 259: Document document = DocumentHelper.parseText(mapDataForOut);

\\xxx\***\xxx.java

Line 120: Document doc = DocumentHelper.parseText(policyXml.replaceAll("_lnx", ""));

Line 125: doc = DocumentHelper.parseText(node.asXML);

\\xxx\***tion.java

Line 109: Document doc = DocumentHelper.parseText(xmlStr);

\\xxx\***.java

Line 58: doc = DocumentHelper.parseText(xml); // 将字符串转为XML

\xxx\***.java

Line 92: doc = DocumentHelper.parseText(xml);

Line 97: oldDoc = DocumentHelper.parseText(vaildXml);

\\xxx\***ObjConverter.java

Line 173: Document document = DocumentHelper.parseText(xml);

\\xxx\***.java

Line 949: doc = DocumentHelper.parseText(infor.getContent);

\\xxx\***Utility.java

Line 1203: Document doc = DocumentHelper.parseText(result);

\\xxx\***xxxService.java

Line 177: Document doc = DocumentHelper.parseText(requestHeader);

\xxx\***\EventParser.java

Line 83: Document doc = DocumentHelper.parseText(xmlStr);

Line 185: Document doc = DocumentHelper.parseText(xmlStr);

Line 229: Document doc = DocumentHelper.parseText(xmlStr);

Line 306: DocumentHelper.parseText(contentXml)).replaceAll("<", "<").replaceAll(">", ">").replaceAll("==amp;",

\\xxx\***\XMLMessageUtil.java

Line 24: doc = DocumentHelper.parseText(xml);

Line 131: tempDoc = DocumentHelper.parseText(xml);

Line 224: document = DocumentHelper.parseText("");

\xxx\***\XmlParser.java

Line 51: Document doc = DocumentHelper.parseText(xmlStr);

\\xxx\***.java

Line 244: Document doc = DocumentHelper.parseText(xmlStr);

其中,\xxx\***\XMLMessageUtil.java

代码中使用org.dom4j.DocumentHelper.parseTest解析XML文件。

第二处,发现位置是在查看web.xml文件中AxisServlet的servlet-mapping配置,发现URL地址包含以下路径或后缀就可被攻击利用。

在通过访问以下URL即可访问到AxisServlet服务,可对其进行XXE漏洞攻击。

https://ip/***/servlet/AxisServlet

POC:

在复现时由于目标主机无法访问外网,所以需要在本地主机上搭建测试环境,具体的复现过程如下:

1)新建目录xxe_test,复制下面文件放入

test.dtd

2)在xxe_test目录下运行如下命令,监听8080端口(检查防火墙是否开放该端口)

Python -m SimpleHTTPServer 8080

3)运行以下脚本,启动ftp服务器(检查防火墙是否开放21端口)

Python xxe-ftp.py

4)发送以下报文:

漏洞截图

成功获取到受害主机的/etc/shadow文件

结束。

另外,也可以使用工具XXEinjector 完成带外攻击。

XXE防御

使用语言中推荐的禁用外部实体的方法:

以上是今天的全部内容,希望小伙伴们认真学习,后面我们还会分享其他的漏洞内容,大家敬请期待!

原文地址:https://www.cnblogs.com/ichunqiu/p/10551088.html

时间: 2024-10-08 12:17:38

漏洞经验分享丨Java审计之XXE(下)的相关文章

java审计之XXE

? 最近审计公司的xxx项目(java方面),对于我也是刚接触java方面的审计,边学习边审计,其中发现了几个有意思的blind xxe于是单独挑出XXE深入研究下,我觉得有必要page记录一下审计与学习的内容,对于xxe方面内容可能还不是太完整后续再添加吧,对于java总体常出现的漏洞审计(如下图)也觉得有必要记录一下,只能后续项目结束后再整理记录了,起码对于刚开始java审计新手是有必要的,之前接触的都是php对Java了解较少. 常见漏洞: 1.xxe简介 XXE(XML外部实体注入.XM

运维经验分享(四)--关于 java进程管理的服务控制脚本编程思路分析

运维经验分享作为一个专题,目前共7篇文章 <运维经验分享(一)-- Linux Shell之ChatterServer服务控制脚本> <运维经验分享(二)-- Linux Shell之ChatterServer服务控制脚本二次优化> <运维经验分享(三)-- 解决Ubuntu下crontab不能正确执行Shell脚本的问题(一)> <运维经验分享(四)--关于 java进程管理的服务控制脚本编程思路分析> <运维经验分享(五)-- 改进的java进程管

运维经验分享(五)-- 改进的java进程管理的服务控制脚本

运维经验分享作为一个专题,目前共7篇文章 <运维经验分享(一)-- Linux Shell之ChatterServer服务控制脚本> <运维经验分享(二)-- Linux Shell之ChatterServer服务控制脚本二次优化> <运维经验分享(三)-- 解决Ubuntu下crontab不能正确执行Shell脚本的问题(一)> <运维经验分享(四)--关于 java进程管理的服务控制脚本编程思路分析> <运维经验分享(五)-- 改进的java进程管

运维经验分享(六)-- 深究crontab不能正确执行Shell脚本的问题(二)

运维经验分享作为一个专题,目前共7篇文章 <运维经验分享(一)-- Linux Shell之ChatterServer服务控制脚本> <运维经验分享(二)-- Linux Shell之ChatterServer服务控制脚本二次优化> <运维经验分享(三)-- 解决Ubuntu下crontab不能正确执行Shell脚本的问题(一)> <运维经验分享(四)--关于 java进程管理的服务控制脚本编程思路分析> <运维经验分享(五)-- 改进的java进程管

运维经验分享(七)-- Linux Shell之ChatterServer服务控制脚本第三次优化

运维经验分享作为一个专题,目前共7篇文章 <运维经验分享(一)-- Linux Shell之ChatterServer服务控制脚本> <运维经验分享(二)-- Linux Shell之ChatterServer服务控制脚本二次优化> <运维经验分享(三)-- 解决Ubuntu下crontab不能正确执行Shell脚本的问题(一)> <运维经验分享(四)--关于 java进程管理的服务控制脚本编程思路分析> <运维经验分享(五)-- 改进的java进程管

【经验分享】新手学Java编程语言怎么入门?

新手学Java编程语言怎么入门?掌握语言基础是第一步,了解java基础知识,Java关键字.核心概念或者基本编码技术.掌握操作符.控制执行流程.访问权限控制.复用类.多态.接口.字符串.泛型.数组.容器深入研究.JavaI/O系统.枚举类型.并发以及图形化用户界面等内容. 为了帮助大家更轻松的学好java开发,给大家分享一套java开发学习资料,小编推荐一个学java开发技术的学习裙:三七四三二零二八二,无论你是大牛还是小白,是想转行还是想入行都可以来了解一起进步一起学习!裙内有开发工具,很多干

Android -- 资源使用和总结经验分享

颜色资源                                                                                       颜色XML文件格式 <?xml version="1.0" encoding="utf-8"?> <resources> //resources根元素 <color name="" >#000000</color> //

大数据经验分享

大数据经验分享 随着互联网的发展,尤其是近期互联网大会召开,再一次谈到大数据,大数据发展趋势已经成为一种必然.那么我们怎样去迎接这样一个新的数据时代?我们可以看到越来越多的人想学习大数据,可是却无从下手,根据自己的经验为大家分享一下大数据的知识: 一.大数据是什么?它的特征? 大数据指一般的软件工具难以捕捉.管理和分析的大容量数据. 大数据有4V特征:Volume(大量).Velocity(实时).Variety(多样).Value(价值). 大数据(big data),或称海量资料,指的是所涉

Android学习经验分享

最近一直在学习安卓,一直以来都是通过自学和博客园的一些文章来进行学习.这里写下点个人学习安卓的感想与感悟. 一  为什么学习安卓 首相,个人比较喜欢手机上的各种App,觉得像我这样的人手机app粉丝也不再是少数.而在ios和Android分割的天下,显然Android所占的群众比是远多于ios的. 其次,本人临近毕业,将来想寻求一份关于移动开发的工作,而java方向的Android正和和本人的意愿相合. 最后一点,也是很客观的一点.虽然ios的开发者的薪金要高于Android,但是Android