当前位置：移动技术网 > 网络运营>安全>网站安全 > php框架slim存在一个只有在框架式CMS中才会出现的XXE漏洞

php框架slim存在一个只有在框架式CMS中才会出现的XXE漏洞

2018年01月31日 | 移动技术网网络运营 | 我要评论

现代cms框架（laraval/symfony/slim）的出现，导致现今的php漏洞出现点、原理、利用方法，发生了一些变化，这个系列希望可以总结一下自己挖掘的此类cms漏洞。

slim是一个设计思路超前的知名的php轻框架，完美结合了psr7来设计，至今用户已超过100w：

在其源码的过程中，我发现其存在一个只有在框架式CMS中才会出现的漏洞。

官方网站: http://www.slimframework.com/

漏洞详情

这个漏洞存在于最新版（3.0）中。
首先用conposer安装之

composer require slim/slim “^3.0@RC”

看其文档: http://www.slimframework.com/docs/objects/request.html#the-request-body
获取POST数据，是利用getParsedBody方法，而这个方法对POST的处理，是按照content-type来区分和解析的：

很典型的问题，有时候框架会帮开发者一些他可能并不需要的『忙』，比如slimphp这里，常规的POST的content-type为application/x- www-form-urlencoded，但只要我将其修改为application/json，我就可以传入json格式的POST数据，修改为 application/xml，我就可以传入XML格式的数据。这个特性将会导致两个问题：
WAF绕过
可能存在的XXE漏洞
WAF绕过这个肯定不用说了，常规的WAF一般只检测application/x-www-form-urlencoded的数据，一旦修改数据类型则将通杀各大WAF。XXE是本漏洞的重点。我们看到解析body的代码：
public function __construct($method, UriInterface $uri, HeadersInterface $headers, array $cookies, array $serverParams, StreamInterface $body, array $uploadedFiles = [])
{
    $this->originalMethod = $this->filterMethod($method);
    $this->uri = $uri;
    $this->headers = $headers;
    $this->cookies = $cookies;
    $this->serverParams = $serverParams;
    $this->attributes = new Collection();
    $this->body = $body;
    $this->uploadedFiles = $uploadedFiles;
    if (!$this->headers->has('Host') || $this->uri->getHost() !== '') {
        $this->headers->set('Host', $this->uri->getHost());
    }
    $this->registerMediaTypeParser('application/json', function ($input) {
        return json_decode($input, true);
    });
    $this->registerMediaTypeParser('application/xml', function ($input) {
        return simplexml_load_string($input);
    });
    $this->registerMediaTypeParser('text/xml', function ($input) {
        return simplexml_load_string($input);
    });
    $this->registerMediaTypeParser('application/x-www-form-urlencoded', function ($input) {
        parse_str($input, $data);
        return $data;
    });
}
实际上解析代码是作为回调函数写在Request类的构造方法里了。可见这里直接调用了simplexml_load_string解析$input，造成XML实体注入漏洞。所以，用slim framework 3.0开发的CMS，只要获取了POST数据，都将受到此XXE漏洞的影响。
漏洞证明
编写一个最简单的demo页面，只有一个获取POST信息并输出的功能：
require 'vendor/autoload.php';
$app = new \Slim\App();
$app->post("/post", function($request, $response) {
    $parsedBody = $request->getParsedBody();
    print_r($parsedBody);
});
$app->run();
搭建在三个白帽里：http://520fdc0ca2c37864f.jie.sangebaimao.com/正常请求：

触发XXE漏洞并读取/etc/passwd：

漏洞修复

在slimphp2中，官方是对这块进行一定处理了：

/**
* Parse XML
*
* This method creates a SimpleXMLElement
* based upon the XML input. If the SimpleXML
* extension is not available, the raw input
* will be returned unchanged.
*
* @param string                  $input
* @return \SimpleXMLElement|string
*/
protected function parseXml($input)
{
    if (class_exists('SimpleXMLElement')) {
        try {
            $backup = libxml_disable_entity_loader(true);
            $result = new \SimpleXMLElement($input);
            libxml_disable_entity_loader($backup);
            return $result;
        } catch (\Exception $e) {
            // Do nothing
        }
    }
    return $input;
}

不知为何在3.0版本中官方就无视这个问题了。
我猜可能有两个原因：

官方注意到了这个问题，但认为3.0版本需求的php版本在5.5以上，而错以为5.5以上的php就已经不存在XXE的隐患了。但实际上XML外部实体的解析，和php版本并无关系，而是和编译时的libxml库版本有关。
官方尚未注意到这个问题。
感觉前者的可能性较大。
所以解决方案也还是按照2中的方案进行。

您可能感兴趣的文章:

如对本文有疑问，点击进行留言回复！！

推荐:对FCBLOG的简单分析

一：古老的OR注入漏洞。看一下首页，做的好凑合。有个登陆的地方，如图1. 二话不说，试’or’=’or’, 点击登陆。没想... [阅读全文]
论坛通用入侵一条龙教学(图)

目前网上有种新的趋势，黑客们的攻击目标开始从网站延伸到论坛和聊天室及留言板等公共场所，而许多用户的论坛密码竟然与E-mail和QQ的密码完全相同，因此对大家的网... [阅读全文]
热门技术探讨之跨站式入侵(图)

最近朋友们老是弄些跨站,一会看这个站被跨站那个站又被跨站,我看也无聊顺便弄一些玩玩,到百度上随便搜索了几个站的地址结果一测试全都可以弄,这不得不让... [阅读全文]
追踪入侵JSP网站服务器

在用JSP制作的电子商务网站多如牛毛。但是对于JSP网站而言，安全性真的能够让人放心吗？面对层出不穷的黑客攻击和病毒袭击，JSP网站的服务器能够比其他网站的服务... [阅读全文]
webshell下执行CMD的小技巧分享

webshell下执行CMD的小技巧分享，需要的朋友可以参考下。... 11-03-31 [阅读全文]
微软全系统建立隐藏账户漏洞分析

命令行下能很好的隐藏，但图形界面下虽然显示为空白，但细心的管理员还是能发现。只为交流学习，不建议搞破坏。... 11-11-11 [阅读全文]
什么是CC攻击，如何防止网站被CC攻击的方法总汇

CC攻击（Challenge Collapsar）是DDOS（分布式拒绝服务）的一种，也是一种常见的网站攻击方法，攻击者通过代理服务器或者肉鸡向向受害主机不停地... [阅读全文]
浅说双引号被过滤时一句话的插入与防范

昨日小刀刀在群里抛了一个问题，说后台插入一句话老是出错，群里的朋友出了很多主意，但是最后还是没搞定。后来这小子把问题抛给了我，昨天我就测试了一下。这里把情况介绍... [阅读全文]
dedecms官方模板包含一句话后门木马

应该是前几天出的那个dedecms的0day.官方的网站被日，然后被在风格模板里面值入了一句话木马。XXOO。... 11-09-29 [阅读全文]
利用ntfs流隐藏你的一句话木马的方法

利用ntfs流隐藏你的一句话木马的方法，好邪恶啊，大家一定要注意防范啊。建议服务器安全设置弄好。... 11-09-29 [阅读全文]

网友评论


验证码：

php框架slim存在一个只有在框架式CMS中才会出现的XXE漏洞

2018年01月31日 | 移动技术网网络运营 | 我要评论

您可能感兴趣的文章:

相关文章:

网友评论