一文讲清XXE漏洞原理及利用(干货)

已于 2024-07-23 11:35:45 修改
阅读量459 收藏 10
点赞数 6
文章标签: 安全 网络
于 2024-06-22 15:01:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80064376/article/details/139882792
版权

文章目录

XXE漏洞简介

  • 全称: XML External Entity Injection (XML外部实体注入漏洞)
  • 触发点: 上传xml文件的位置未进行过滤,导致可以加载恶意外部文件和代码。
  • 危害: 任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起DoS攻击等。

XML基础知识

XML介绍及用途

  • 用途: 用于传输和存储数据。
  • 结构: 树状结构,从根部开始扩展到枝叶。
  • 特点: 允许用户定义自己的标签和文档结构。

XML文档的构建模块

  1. 元素: XML及HTML文档的主要构建模块。
  2. 属性: 提供有关元素的额外信息。
  3. 实体: 用于定义普通文本的变量。
  4. PCDATA: 被解析的字符数据。
  5. CDATA: 不会被解析器解析的字符数据。

XML语法规则

  • 所有XML元素必须有一个闭合标签。
  • XML标签对大小写敏感。
  • XML必须正确嵌套。
  • XML属性值必须加引号。
  • 实体引用在XML中,空格会被保留。

XXE漏洞利用

存在XXE漏洞代码

<?php
$xml = file_get_contents('php://input');
$data = simplexml_load_string($xml);
echo "<pre>";
print_r($data); // 注释掉该语句即为无回显的情况
?>

DTD(文档类型定义)

  • 作用: 定义XML文档的合法构建模块。
  • 声明方式: 内部声明和外部引用。

DTD实体

  • 定义: 用于定义引用普通文本或特殊字符的变量。
  • 类型: 一般实体和参数实体。

漏洞利用示例

  1. 读取文档文件

    <?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE ANY [
<!ENTITY xxe SYSTEM "file:///c:/post.txt">
]>
<name>&xxe;</name>

  2. 读取PHP文件

    <?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE ANY [
<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=conf.php">
]>
<name>&xxe;</name>

XXE的攻击与危害

  1. 读取任意文件
  2. 执行系统命令
  3. 探测内网端口
  4. 攻击内网网站

防御XXE攻击

  1. 使用开发语言提供的禁用外部实体的方法

    • PHP: libxml_disable_entity_loader(true);
    • JAVA:
      DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
    • Python:
      from lxml import etree
xmlData = etree.parse(xmlSource, etree.XMLParser(resolve_entities=False))

  2. 过滤用户提交的XML数据关键词: <!DOCTYPE<!ENTITY,或 SYSTEMPUBLIC

相关文章推荐

如果你觉得这篇文章对你有帮助,不妨看看以下几篇相关文章,内容同样精彩:

  1. 病毒肆虐,电脑遭殃,360和火绒哪家强?
    探讨了流行杀毒软件360和火绒的各自优缺点,以及在面对不同病毒威胁时的表现。
  2. 编码器与译码器的工作原理及应用
    详细解析了编码器与译码器的工作原理,特别是n位2^n线编码器的运算规律,对于学习计算机硬件的读者非常有帮助。
  3. python课程设计作业-TCP客户端-服务端通信
    介绍了如何使用Python进行TCP客户端与服务端通信的课程设计作业,适合对网络编程感兴趣的读者。
  4. 海明检验码过程(超详细)
    详尽讲解了海明检验码的原理和实现过程,适合需要了解错误检测与纠正编码的读者。

每篇文章都经过精心编写,涵盖了丰富的知识点和实用技巧,希望能为你的学习和实践提供更多帮助!

计算机原理复习目录汇总 ⬇️点击这里阅读完整文章⬇️

CongSec
关注
XXE漏洞以及XXE漏洞如何修复
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-09 2万+
XXE漏洞是什么?XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。这些就称为XXE漏洞。知道XXE漏洞前首先得先了解XML。XXE漏洞如何修复的方案一:使用开发语言提供的禁用外部实体的方法1.PHP开发语言禁用外部实体的方法:libxml_disable_entity_loader(true);XXE漏洞如何修复的方案二:尽量不要让用户直接
(渗透学习)XXE漏洞原理 & 挖掘 & 利用 & 防御
yang1234567898的博客
01-15 5839
1、什么是XML? xml和html结构类似,不同的是: XML 被设计用来传输和存储数据。 HTML 被设计用来显示数据。 XML 文档结构包括 XML 声明、DTD 文档类型定义(可选)、文档元素 (1)什么是DTD? 文档类型定义(DTD)可定义合法的XML文档构建模块,它使用一系列合法的元素来定义文档的结构。 DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。 ① 内部的 DOCTYPE 声明: <!DOCTYPE 根元素 [元素声明]> 如下就
7z apache解析漏洞_XXE 漏洞代码及修复代码整理
weixin_27034523的博客
12-23 832
XML原理XXE:XML External Entity 即XML外部实体注入攻击。是由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体,通过外部实体SYSTEM请求本地文件uri,通过某种方式返回本地的文件内容,导致了XXE漏洞。java中出现的场景poc.xml<?xml version="1.0" encoding="ISO-8859-1" ?> &lt...
XXE漏洞
m_de_g的博客
08-22 176
XXE漏洞 1.介绍XXE漏洞 XML外部实体注入(XML External Entity) 简称XXE漏洞,XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声名、DTD文档类型定义(可选)、文档元素。 其中,文档类型定义(DTD)可以是内部声明也可以引用外部DTD,如下所示。 ·内部声明DTD格式:<!DOCTYPE 根元素[元素声明]> ·引用外部DTD格式:<!DOCTYPE 根
XXE漏洞(XML外部实体注入)
whoim_i的博客
02-20 4569
目录什么是XXE基础知识基本利用 什么是XXE XXE(XML External Entity Injection)也就是XML外部实体注入,XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml 库,而 libxml2.9 以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体和外部参数实体)做合适的处理,并...
【Web安全XXE漏洞
最新发布
zkaqlaoniao的博客
11-24 436
XXE漏洞指的是XML外部实体注入(XML External Entity Injection)漏洞,它是一种常见的安全漏洞类型,可以用来攻击基于XML的应用程序。当应用程序接受XML输入时,攻击者可以插入带有外部实体引用的恶意XML数据,从而导致应用程序执行未经授权的操作,比如访问本地文件系统、执行远程代码等。攻击者可以通过利用XXE漏洞来获取敏感信息、控制服务器,或者执行其他恶意操作。
网络安全课第五节 XXE 漏洞的检测与防御
fegus的博客
07-11 1549
上一讲我们介绍了 SSRF 漏洞,一种专门针对服务端的请求伪造攻击,常被用于攻击内网。在里面我介绍了 Burp Collaborator 用于专门测试无回显漏洞的功能,在本讲的 XXE 漏洞测试中,我们依然可以使用,不知道你是否还记得怎么使用?下面,我们就开始今天的课程,一场关于 XML 外部实体注入(XXE漏洞的攻防之路。XXE(XML External Entity,XML 外部实体注入)正是当允许引用外部实体时,通过构造恶意内容,导致读取任意文件、执行系统命令、内网探测与攻击等危害的一类漏洞。PHP
XXE漏洞原理及防御
z.mumu的博客
07-13 1966
1.XXE漏洞 XXE漏洞就是XML外部实体注入,就是当xml引用外部实体并解析的时候会产生的漏洞,xml解析器去获取其中的外部资源并存储到内部实体中,攻击者可引用外部实体对目标进行文件读取、命令执行、DDOS、内网探测等。 2.什么是xml 1.XML 指可扩展标记语言(EXtensible Markup Language)是被设计用来传输和存储数据,而HTML则是被设计用来显示数据。...
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
**一、XXE漏洞原理** XXE漏洞主要出现在应用接收并解析XML格式的数据时。如果服务器开启了外部实体加载功能,攻击者可以通过构造含有恶意外部实体的XML文档,诱使服务器去读取或执行非预期的资源。比如,攻击者可以...
XXE漏洞详解(全网最详细)
qq_61553520的博客
05-09 4972
XXE:全称为XML Enternal Entity Injection,中文名称:XML外部实体注入。
漏洞总结——XXE(XML外部实体注入)
Spontaneous_0的博客
09-08 497
XXE漏洞全称为 XML External Entity Injection,即XML外部实体注入XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载, 导致用户可以控制外部的加载文件,造成XXE漏洞
XXE漏洞解析演示
明哥哥知识分享
09-03 357
一. 源码 1. 有回显有报错测试代码 <?php $xml=simplexml_load_string($_GET['xml']); // print_r($xml); echo $xml ?> 2. 无回显无报错测试代码 <?php $xml=@simplexml_load_string($_POST['xml']); ?> 二. 内部实体演示 // &有问题,必须对&进行编码才可以 <!DOCTYPE foo [<!ELEMENT fo
WEB常见漏洞XXE(靶场篇)
Javachichi的博客
11-10 659
其实在我们攻击具有XXE漏洞的服务器时,受攻击服务器进行了两次响应,如果查看受攻击的服务器上的日志会发现两条记录:一次是对XML进行解析后对另一台远程服务器的访问,一次是访问服务器自身上具有XXE漏洞的文件。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Web漏洞-XXE漏洞(详细)
Ays.Ie的博客
03-11 5622
该篇描述Web漏洞-XXE漏洞(详细)
xxe漏洞php代码审计1
m0_55772907的博客
05-01 650
(1)原理 XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害 xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件 (2)基础知识 XML 被设计为传输和存储数据,其焦点是数据的内容HTML 被设计用来显示数据,其焦点是数据的外观...
初识XXE漏洞
热门推荐
Websec
03-22 1万+
0X01:何为XXE漏洞XXE是指xml外部实体攻击0x02:那么xml是什么?xml实体攻击是什么?XML百度是这样子的:可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。在电子计算机中,标记指计算机所能理解的信息符号,通过此种标记,计算机之间可以处理包含各种的信息比如文章等。它可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言...
xxe漏洞原理及防御方式
05-25
XXE(XML External Entity)漏洞是一种常见的Web应用程序安全漏洞,攻击者利用这种漏洞可以读取本地文件、发起内部网络攻击等。XXE漏洞原理是通过在XML文档中插入恶意实体来触发解析器加载恶意实体,从而发起攻击。 以下是XXE漏洞的防御方式: 1.禁止使用外部实体:在解析XML文档时,应该禁止使用外部实体,避免攻击者利用外部实体来读取本地文件等。 2.使用白名单:仅允许特定的实体和DTD(Document Type Definition)文件,不允许使用任意的实体和DTD文件。 3.过滤输入数据:在接收用户输入数据时,应该对输入数据进行过滤和检查,避免恶意实体被插入到XML文档中。 4.升级解析器:使用最新版本的XML解析器可以提高安全性,因为新版本通常会修复已知的漏洞。 5.使用WAF(Web应用程序防火墙):WAF可以检测并防止XXE漏洞攻击,建议在Web应用程序中使用WAF。 总之,XXE漏洞是一种常见的Web应用程序安全漏洞,开发人员应该注意防范和修复这种漏洞
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CongSec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值