轉自FReeBUF

0×00. 介紹

現在越來越多主要的web程序被發現和報告存在XXE(XML External Entity attack)漏洞，比如說facebook、paypal等等。 舉個例子，我們掃一眼這些網站最近獎勵的漏洞，充分證實了前面的說法。盡管XXE漏洞已經存在了很多年，但是它從來沒有獲得它應得的關註度。很多XML的解析器默認是含有XXE漏洞的，這意味著開發人員有責任確保這些程序不受此漏洞的影響。

本文主要討論什麽是XML外部實體，這些外部實體是如何被攻擊的。

0×01. 什麽是XML外部實體？

如果你了解XML，你可以把XML理解為一個用來定義數據的東東。因此，兩個采用不同技術的系統可以通過XML進行通信和交換數據。 比如，下圖就是一個用來描述一個職工的XML文檔樣本，其中的’name’,‘salary’,‘address’ 被稱為XML的元素。

有些XML文檔包含system標識符定義的“實體”，這些XML文檔會在DOCTYPE頭部標簽中呈現。這些定義的’實體’能夠訪問本地或者遠程的內容。比如，下面的XML文檔樣例就包含了XML ‘實體’。

在上面的代碼中， XML外部實體 ‘entityex’ 被賦予的值為：file://etc/passwd。在解析XML文檔的過程中，實體’entityex’的值會被替換為URI(file://etc/passwd)內容值（也就是passwd文件的內容）。 關鍵字’SYSTEM’會告訴XML解析器，’entityex’實體的值將從其後的URI中讀取。因此，XML實體被使用的次數越多，越有幫助。

0×02. 什麽是XML外部實體攻擊？

有了XML實體，關鍵字’SYSTEM’會令XML解析器從URI中讀取內容，並允許它在XML文檔中被替換。因此，攻擊者可以通過實體將他自定義的值發送給應用程序，然後讓應用程序去呈現。 簡單來說，攻擊者強制XML解析器去訪問攻擊者指定的資源內容（可能是系統上本地文件亦或是遠程系統上的文件）。比如，下面的代碼將獲取系統上folder/file的內容並呈獻給用戶。

0×03. 怎麽甄別一個XML實體攻擊漏洞？

最直接的回答就是： 甄別那些接受XML作為輸入內容的端點。 但是有時候，這些端點可能並不是那麽明顯(比如，一些僅使用JSON去訪問服務的客戶端)。在這種情況下，滲透測試人員就必須嘗試不同的測試方式，比如修改HTTP的請求方法，修改Content-Type頭部字段等等方法，然後看看應用程序的響應，看看程序是否解析了發送的內容，如果解析了，那麽則可能有XXE攻擊漏洞。

0×04. 如何確認XXE漏洞？

出於演示的目的，我們將用到一個Acunetix維護的demo站點，這個站點就是: http://testhtml5.vulnweb.com/。這個站點可用於測試Acunetix web掃描器的功能。 訪問 http://testhtml5.vulnweb.com/ 站點，點擊 ‘Login’下面的 ‘Forgot Password’ 鏈接。註意觀察應用程序怎樣使用XML傳輸數據，過程如下圖所示：

請求：

響應：

觀察上面的請求與響應，我們可以看到，應用程序正在解析XML內容，接受特定的輸入，然後將其呈現給用戶。為了測試驗證XML解析器確實正在解析和執行我們自定義的XML內容，我們發送如下的請求

修改後的請求和響應：

如上圖所示，我們在上面的請求中定義了一個名為myentity、值為’testing’的實體。 響應報文清晰地展示了解析器已經解析了我們發送的XML實體，然後並將實體內容呈現出來了。 由此，我們可以確認，這個應用程序存在XXE漏洞。

0×05. 如何進行XXE攻擊？

Code 1:

1. To read files on same server:

<?xml version="1.0" encoding="ISO-8859-1"?>

<!DOCTYPE foo [

<!ENTITY myentity SYSTEM "file:///location/anyfile" >]>

<abc>&myentity;</abc>

2. To crash the server / Cause denial of service:

<?xml version="1.0"?>

<!DOCTYPE lolz [

<!ENTITY lol "lol">

<!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">

<!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">

<!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">

<!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">

<!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">

<!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">

<!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">

<!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">

]>

<lolz>&lol9;</lolz>

上面樣例代碼1中的XXE漏洞攻擊就是著名的’billion laughs’(https://en.wikipedia.org/wiki/Billion_laughs)攻擊，該攻擊通過創建一項遞歸的 XML 定義，在內存中生成十億個”Ha！”字符串，從而導致 DDoS 攻擊。原理為：構造惡意的XML實體文件耗盡可用內存，因為許多XML解析器在解析XML文檔時傾向於將它的整個結構保留在內存中，解析非常慢，造成了拒絕服務器攻擊。除了這些，攻擊者還可以讀取服務器上的敏感數據，還能通過端口掃描，獲取後端系統的開放端口。

影響:

此漏洞非常危險, 因為此漏洞會造成服務器上敏感數據的泄露，和潛在的服務器拒絕服務攻擊。

補救措施：

上面討論的主要問題就是XML解析器解析了用戶發送的不可信數據。然而，要去校驗DTD(document type definition)中SYSTEM標識符定義的數據，並不容易，也不大可能。大部分的XML解析器默認對於XXE攻擊是脆弱的。因此，最好的解決辦法就是配置XML處理器去使用本地靜態的DTD，不允許XML中含有任何自己聲明的DTD。

比如下面的Java代碼，通過設置相應的屬性值為false，XML外部實體攻擊就能夠被阻止。因此，可將外部實體、參數實體和內聯DTD 都被設置為false，從而避免基於XXE漏洞的攻擊。

以下是代碼的第二段

import javax.xml.parsers.DocumentBuilderFactory;

import javax.xml.parsers.ParserConfigurationException; // catching unsupported features

...

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();

try {

// Xerces 1 - http://xerces.apache.org/xerces-j/features.html#external-general-entities

// Xerces 2 - http://xerces.apache.org/xerces2-j/features.html#external-general-entities

String FEATURE = "http://xml.org/sax/features/external-general-entities";

dbf.setFeature(FEATURE, false);

// Xerces 1 - http://xerces.apache.org/xerces-j/features.html#external-parameter-entities

// Xerces 2 - http://xerces.apache.org/xerces2-j/features.html#external-parameter-entities

FEATURE = "http://xml.org/sax/features/external-parameter-entities";

dbf.setFeature(FEATURE, false);

// Xerces 2 only - http://xerces.apache.org/xerces2-j/features.html#disallow-doctype-decl

FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";

dbf.setFeature(FEATURE, true);

// remaining parser logic

...

catch (ParserConfigurationException e) {

// This should catch a failed setFeature feature

logger.info("ParserConfigurationException was thrown. The feature ‘" +

FEATURE +

"‘ is probably not supported by your XML processor.");

...

}

catch (SAXException e) {

// On Apache, this should be thrown when disallowing DOCTYPE

logger.warning("A DOCTYPE was passed into the XML document");

...

}

catch (IOException e) {

// XXE that points to a file that doesn‘t exist

logger.error("IOException occurred, XXE may still possible: " + e.getMessage());.. }

淺談XXE