从零掌握XML与DTD实体：原理、XXE漏洞攻防

本文仅用于技术研究，禁止用于非法用途。
Author:枷锁

文章目录

一、XML基础
- 1. 什么是XML？
- 2. XML语法规则
- 3. 数据类型
二、DTD
- 1. 认识DTD
- 2. 声明DTD
- 3. DTD实体
- 4. 如何防御XXE攻击？
- 5. 总结

一、XML基础

1. 什么是XML？

XML ：可扩展标记语言（Extensible Markup Language）是一种用于结构化存储和传输数据的文本格式标记语言。XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。

XML 就是让你用自己定义的标签（比如 <价格>3999</价格>）把数据包成纯文本，让不同系统和软件都能读懂的一种通用数据格式。

作用：XML的设计宗旨是传输数据，不是显示数据。XML在web中的应用已十分广泛。XML是各种应用程序之间数据传输最常用的格式。与HTML的区别在于一个被设计用来展示数据，一个用来传输数据。
特点：

XML 的设计宗旨是传输数据，而非显示数据；
XML 标签没有被预定义，需要自行定义标签；
XML 被设计为具有自我描述性；
XML 是 W3C 的推荐标准。

与 HTML 相比：

HTML 用于定义数据的展示，专注于它应该是什么样子；XML 用于传输和存储数据。
都是用标签组织文本内容，但是XML没有预定义的标签。
XML文档结构包括XML声明（可选）、DTD文档类型定义（可选）、文档元素。下面是一个XML文档实例：

<?xml version="1.0" encoding="UTF-8"?> <!--XML 声明-->
<girls><girl><hair>短头发</hair><eye>大眼睛</eye><face>可爱的脸庞</face><summary age="23">我最爱的女孩</summary></girl>
</girls>

说明：

第一行是 XML 声明。它定义 XML 的版本（1.0）和所使用的编码（UTF-8）。
XML注释：。
第二行是文档的根元素（girls）。
后面就是子元素以及元素结尾。
整个XML是一种树形结构（根节点，子节点）。
元素：XML 元素指的是从开始标签直到结束标签的部分（包括标签）。一个元素可以包含：
其他元素（子元素）
文本
属性

2. XML语法规则

XML 声明文件是可选部分，如果存在需要放在文档的第一行。
XML 必须包含根元素，它是所有其他元素的父元素。上文中的girls就是根元素。

(1) 所有 XML 元素都必须有关闭标签（成双成对出现）
在 XML 中，省略关闭标签是非法的。所有元素都必须有关闭标签：

<p>This is a paragraph</p>
<p>This is another paragraph</p>

注释：XML 声明没有关闭标签。这不是错误。声明不属于XML本身的组成部分。它不是 XML 元素，也不需要关闭标签。
(2) XML 标签对大小写敏感
XML 标签对大小写敏感。在 XML 中，标签必须使用相同的大小写来编写打开标签和关闭标签：

 <Message>这是错误的。</message>
<message>这是正确的。</message>

(3) XML 必须正确地嵌套
在 XML 中，所有元素都必须彼此正确地嵌套：

<b><i>This text is bold and italic</i></b>

(4) XML 的属性值须加引号
与 HTML 类似，XML 也可拥有属性（名称/值的对）。
在 XML 中，XML 的属性值须加引号。请研究下面的两个 XML 文档。第一个是错误的，第二个是正确的：

<note date=08/08/2008>
<to>George</to>
<from>John</from>
</note>

<note date="08/08/2008">
<to>George</to>
<from>John</from>
</note>

在第一个文档中的错误是，note 元素中的 date 属性没有加引号。

3. 数据类型

主要有两种数据类型：

PCDATA：被解析的字符数据，其中的标签会被当作标记来处理，而实体会被展开。
CDATA：不被解析的字符数据，其中的标签不会被当作标记来对待，其中的实体也不会被展开。

二、DTD

1. 认识DTD

DTD(Document Type Definition)文档类型定义。
DTD是用来控制文档的一个格式规范的，由 XML 设计者或作者开发。
在DTD中定义了XML中存在什么标签、拥有什么属性、以及其它元素里面有什么元素等。

DTD（文档类型定义）是XML的“语法说明书”，用来规定XML文档里能写哪些标签、标签怎么嵌套、哪些属性必须填 —— 就像老师批改作文时用的《写作格式要求》。

下面是一个DTD文档的实例：

<!ELEMENT girls (girl)*>
<!ELEMENT girl (hair, eye, face, summary)>
<!ELEMENT hair (#PCDATA)>
<!ELEMENT eye (#PCDATA)>
<!ELEMENT face (#PCDATA)>
<!ELEMENT summary (#PCDATA)>
<!ATTLIST summary age CDATA "0">

说明：

第一行定义了girls元素，它可以有任意个girl子元素，其中型号（*）表示出现0次或者多次。
第二行定义了girl元素，它有4个子元素，并且在girl中必须且只能出现一次。
第三行定义了hair元素，该元素的数据类型为PCDATA。
第七行声明了summary元素的age属性，属性类型是CDATA，默认值是“0”。

2. 声明DTD

第一个例子中 XML 文档并不包含标签定义，它由我们第二个例子的 DTD 来完成。XML文档要使用
DTD定义的标签，就要先声明DTD。DTD 可被成行地声明于 XML 文档中，也可作为一个外部引用。
(1) 内部声明DTD

内部声明必须使用<!DOCTYPE>元素.

(2) 外部引用DTD
我们可以从外部的dtd文件中引用（这也是xxe漏洞产生的原因）。引用格式为：

<!DOCTYPE 根元素 SYSTEM "URL">

比如：

 <?xml version="1.0" encoding="UTF-8"?> <!--XML 声明-->
<!DOCTYPE girls SYSTEM "girls.dtd">
<girls><girl><hair>短头发</hair><eye>大眼睛</eye><face>可爱的脸庞</face><summary age="23">我最爱的女孩</summary></girl>
</girls>

URL中常见的协议有：
在这里插入图片描述

3. DTD实体

实体(ENTITY)：如果在 XML 文档中需要频繁使用某一条数据，我们可以预先给这个数据起一个别名
(类似于变量)，即一个ENTITY，然后在文档中调用它。
实体是用于定义引用普通文本或特殊字符的快捷方式的变量。

实体可以分为通用实体和参数实体，都可以内部声明或者外部引用。

1. DTD实体是什么？
DTD实体（Entity） 是XML文档中的一种“变量”或“占位符”，它允许你定义一个值（比如一段文本、一个文件内容、甚至一个网络请求的结果），然后在XML文档中通过 &实体名; 来引用它。

类比理解

就像编程里的变量：

author = "刘慈欣"  # 定义变量
print(author)     # 使用变量

XML里类似：

<!ENTITY author "刘慈欣">  <!-- 定义实体 -->

<作者>&author;</作者>  <!-- 使用实体 -->

最终解析时会变成：

<作者>刘慈欣</作者>

2. DTD实体的分类
DTD实体主要分为 3种类型，每种有不同的用途：

（1）内部实体（存储固定文本）
作用：定义一个固定的字符串，在XML里复用。
语法：

<!ENTITY 实体名 "文本内容">

示例：

<!ENTITY book_title "三体">
<!ENTITY book_author "刘慈欣">

XML调用：

<书><书名>&book_title;</书名><作者>&book_author;</作者>
</书>

解析后：

<书><书名>三体</书名><作者>刘慈欣</作者>
</书>

（2）外部实体（加载外部文件或URL）
作用：引用外部文件、网页、甚至系统命令的结果。
语法：

<!ENTITY 实体名 SYSTEM "文件路径或URL">

示例：

<!ENTITY secret_file SYSTEM "file:///etc/passwd">  <!-- 读取Linux密码文件 -->
<!ENTITY website SYSTEM "http://example.com/data.txt">  <!-- 加载网页内容 -->

XML调用：

<数据>&secret_file;</数据>

解析后：

<数据>root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
...</数据>

⚠️ 这是黑客攻击的入口！（后面会讲XXE漏洞）

（3）参数实体（DTD内部复用）
作用：在DTD内部定义可复用的规则（普通XML不能直接调用）。
语法：

<!ENTITY % 实体名 "DTD规则">

示例：

<!ENTITY % book_rule "书名, 作者, 价格">
<!ELEMENT 书籍 (%book_rule;)>

解析后：

<书籍><书名>三体</书名><作者>刘慈欣</作者><价格>59.9</价格>
</书籍>

3. DTD实体的安全风险（XXE漏洞）
XXE漏洞：
XXE（XML External Entity） 漏洞是指攻击者利用 外部实体 加载恶意内容，比如：

读取服务器上的敏感文件（/etc/passwd、C:\Windows\win.ini）
扫描内网服务（http://192.168.1.1/admin）
发起SSRF攻击（让服务器访问恶意网站）

攻击示例
（1）读取本地文件

<?xml version="1.0"?>
<!DOCTYPE hack [<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<user>&xxe;</user>

服务器返回：

<user>root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
...</user>

（2）扫描内网

<!ENTITY xxe SYSTEM "http://192.168.1.1:8080/admin">

如果服务器返回数据，说明内网存在管理后台。

（3）远程代码执行（某些环境下）

<!ENTITY xxe SYSTEM "expect://id">

可能返回当前用户权限（uid=0(root)）。

4. 如何防御XXE攻击？

开发者应该怎么做？

禁用DTD和外部实体解析（最有效）

Java示例：

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);

PHP示例：
```
libxml_disable_entity_loader(true);
```

输入过滤
- 检查XML是否包含 <!DOCTYPE 或 <!ENTITY。
使用JSON替代XML
- 现代API推荐用JSON（没有实体解析风险）。

安全测试如何检测XXE？

提交测试Payload：

<?xml version="1.0"?>
<!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<data>&xxe;</data>

观察响应是否包含 /etc/passwd 的内容。

5. 总结

关键点	说明
DTD实体是什么	XML的“变量”，用于复用数据
内部实体	存储固定文本，如 `<!ENTITY name "Alice">`
外部实体	加载文件/URL，黑客利用它读文件（XXE漏洞）
参数实体	DTD内部复用规则，如 `<!ENTITY % rule "a,b,c">`
XXE漏洞	攻击者通过外部实体读取 `/etc/passwd`
防御方法	禁用外部实体解析 + 输入过滤

一句话记住DTD实体：
DTD实体是XML的变量，外部实体可能被黑客利用读取服务器文件（XXE漏洞），必须禁用！
DTD实体是XXE漏洞的根源，安全开发必须禁用外部实体解析！

宇宙级免责声明
🚨 重要声明：本文仅供合法授权下的安全研究与教育目的！🚨
1.合法授权：本文所述技术仅适用于已获得明确书面授权的目标或自己的靶场内系统。未经授权的渗透测试、漏洞扫描或暴力破解行为均属违法，可能导致法律后果（包括但不限于刑事指控、民事诉讼及巨额赔偿）。
2.道德约束：黑客精神的核心是建设而非破坏。请确保你的行为符合道德规范，仅用于提升系统安全性，而非恶意入侵、数据窃取或服务干扰。
3.风险自担：使用本文所述工具和技术时，你需自行承担所有风险。作者及发布平台不对任何滥用、误用或由此引发的法律问题负责。
4.合规性：确保你的测试符合当地及国际法律法规（如《计算机欺诈与滥用法案》（CFAA）、《通用数据保护条例》（GDPR）等）。必要时，咨询法律顾问。
5.最小影响原则：测试过程中应避免对目标系统造成破坏或服务中断。建议在非生产环境或沙箱环境中进行演练。
6.数据保护：不得访问、存储或泄露任何未授权的用户数据。如意外获取敏感信息，应立即报告相关方并删除。
7.免责范围：作者、平台及关联方明确拒绝承担因读者行为导致的任何直接、间接、附带或惩罚性损害责任。