如何利用Excel進(jìn)行XXE攻擊

今天就跟大家聊聊有關(guān)如何利用Excel進(jìn)行XXE攻擊，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

某次測(cè)試中，在某系統(tǒng)后臺(tái)通過(guò)上傳Excel文件觸發(fā)XXE攻擊，這種姿勢(shì)利用成功比較少，故在此將測(cè)試過(guò)程記錄分享出來(lái)。

前言

Microsoft Office從2007版本引入了新的開(kāi)放的XML文件格式，新的XML文件格式基于壓縮的ZIP文件格式規(guī)范，由許多部分組成。

我們可以將其解壓縮到特定的文件夾中來(lái)查看其包含的文件夾和文件，可以發(fā)現(xiàn)其中多數(shù)是描述工作簿數(shù)據(jù)、元數(shù)據(jù)、文檔信息的XML文件。

所以不正確的讀取2007版本Microsoft office格式文件也存在著XXE攻擊的可能性。

測(cè)試過(guò)程

測(cè)試客戶端與測(cè)試目標(biāo)均處于純內(nèi)網(wǎng)環(huán)境
測(cè)試目標(biāo)IP：29.xx.xx.xxx
客戶端IP：10.xx.xx.xx

在人員管理>批量導(dǎo)入模塊，發(fā)現(xiàn)可以通過(guò)上傳Excel文件批量導(dǎo)入人員信息。

下載導(dǎo)入模板，模板是一個(gè)xls格式文件。

xls與xlsx格式不同，xls是一個(gè)特有的二進(jìn)制格式，其核心結(jié)構(gòu)是復(fù)合文檔類(lèi)型的結(jié)構(gòu)，而xlsx的核心結(jié)構(gòu)是XML類(lèi)型的結(jié)構(gòu)，采用的是基于XML的壓縮方式。xls格式文件沒(méi)辦法插入Payload進(jìn)行XXE攻擊。

由于系統(tǒng)給出的默認(rèn)模板user.xls沒(méi)辦法利用，那我們嘗試自己新建一個(gè)xlsx格式文件進(jìn)行上傳，是否可行呢？

制作插入Payload的xlsx文件

新建一個(gè)xlsx格式文件test.xlsx，解壓縮。

在[Content_Types].xml文件中插入Payload，如下圖。作用是從10.xx.xx.xx:8080上讀取eval.dtd文件。

在客戶端進(jìn)行監(jiān)聽(tīng)

eval.dtd文件存放在客戶端，內(nèi)容如下圖。作用是通過(guò)file協(xié)議讀取測(cè)試目標(biāo)的/etc/hostname文件，并將讀取的結(jié)果通過(guò)HTTP請(qǐng)求的參數(shù)p帶出。

在客戶端的8080端口開(kāi)啟Web服務(wù)，供測(cè)試目標(biāo)下載eval.dtd文件。

并使用nc監(jiān)聽(tīng)本地8081端口，用于接收從測(cè)試目標(biāo)讀取的/etc/hostname文件。

上傳

將插入Payload后的文件重新壓縮，再將壓縮包的后綴名修改為xlsx。

上傳該xlsx文件。

雖然回顯文件添加失敗，但是從客戶端Web服務(wù)日志中發(fā)現(xiàn)測(cè)試目標(biāo)下載了evil.dtd文件，且nc成功在8081端口監(jiān)聽(tīng)到測(cè)試目標(biāo)的/etc/hostname文件內(nèi)容。

利用Excel進(jìn)行XXE攻擊非常簡(jiǎn)單，使用版本較低的第三方庫(kù)解析Excel文件時(shí)，基本都會(huì)引入XXE問(wèn)題。

看完上述內(nèi)容，你們對(duì)如何利用Excel進(jìn)行XXE攻擊有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。