SpringMVC中的XXE漏洞测试

SpringMVC框架支持XML到Object的映射,内部是使用两个全局接口Marshaller和Unmarshaller,一种实现是使用Jaxb2Marshaller类进行实现,该类自然实现了两个全局接口,用来对XML和Object进行双向解析。并且XML文件可以是DOM文档、输入输出流或者SAX handler。

SpringMVC流行使用注解来快速开发,其中JAXB注解可以对JavaBean中需要与XML进行转化的地方进行标注。比如,实现XML文件到User对象的映射,User对象中使用JAXB注解:

20150225212139241

当在SpringMVC中使用JAXB实现XML与Java Bean映射的时候,可能会导致XXE漏洞,因为SpringMVC中也可以解析request body中的XML,其原理是在注解模式下,使用注解@RequestBody后,可以将HTTP请求的请求体引入到我们的Controller的方法中,一般是作为方法的参数来使用。在开启annotation-driven的时候,HttpMessageConverter会给AnnotationMethodHandlerAdapter初始化7个转换器。至于Spring是如何选择合适的转换器的,这里没有读源码,猜测应该是通过Accept或者Content-type头来进行判断的。

如果应用程序没有做有效的处理,那么通过构造request body,我们可以实现外部实体的注入。比如,Web应用中使用XML传递数据时,没有对外部实体的引用做限制,就可能导入外部实体,导致任意文件读取。

在测试漏洞中,只需要在配置文件中对注解驱动与ViewResolver进行配置即可,

正常请求时:

2

在请求中标明提交一个application/xml类型的内容,并在request body中提交一个XML,内容为name=exploit。提交请求,转向页面index.jsp,当然,在controller中我们做了一些处理,将转换的user传给了jsp来呈现,代码为:

3

可以看到,控制台上打印了toString方法的内容:

index.jsp结果如下:

4

下面引入外部实体,提交:

<?xml version=”1.0″ encoding=”UTF-8″?>
<!DOCTYPE ANY[
<!ENTITY shit SYSTEM  “file:///c:/1.txt”>]>
<user><name>&shit;</name></user>

这里与上面不同,引入了一个恶意的外部实体shit,并且在回显的位置<name>中使用这个实体,效果是读取c盘下面的1.txt,内容为一串2,结果如下:

5

可以看到,外部实体成功引入并且解析,造成了XXE漏洞。

所以,SpringMVC中处理XML类型的请求体时,所用的转换器(Converter)是默认支持外部实体引用的,通过官网的解决方案可以解决该漏洞,可以避免在使用spring MVC的时候出现不必要的麻烦。

参考:https://jira.spring.io/browse/SPR-10806

【via@91RI团队