xxe漏洞

已于 2022-03-18 08:37:23 修改
阅读量720 收藏 1
点赞数 1
文章标签: 安全 web安全
于 2022-03-17 22:01:40 首次发布
原文链接:https://bwshen.blog.csdn.net/article/details/103237488
版权

一、什么是xxe

XXE(XML External Entity Injection) XML外部实体注入。XXE就是在可以解析XML(XML是一种类似于HTML的可扩展标记语言,是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言)的地方,在这种地方提交XML的恶意代码来执行。它一般可以做到,内网文件读取,端口扫描,内网程序攻击,任意命令执行等。

php版本大于5.4.45的默认不解析外部实体。这也就是为什么说xxe漏洞越来越少了的原因。

二、xml的基础知识

DTD(document type definition 文档类型定义)的作用是定义XML文档的合法构建模块。DTD可以在XML文档内声明,也可以外部引用。

DTD中的一些重要的关键字:

DOCTYPE(DTD的声明)
ENTITY(实体的声明)
SYSTEM、PUBLIC(外部资源申请)

1.system引用本地实体

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xdsec [
<!ELEMENT methodname ANY >
<!ENTITY xxe(实体引用名) SYSTEM "file:///etc/passwd"(实体内容) >]>
<methodcall>
<methodname>&xxe;</methodname>
</methodcall>

2.引用公共实体

<!ENTITY 实体名称 PUBLIC "public_ID" "URI">

三、具体的xxe代码

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE a [<!ENTITY passwd SYSTEM "file:///etc/passwd">]>
<foo>
        <value>&passwd;</value>
</foo>

上代码是获取本地的ect/passwd的内容,以上代码是有回显信息的。

在介绍没有回显的情况利用blind xxe漏洞

PHP:
可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,libxml_disable_entity_loader(true)。
 
JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
 
Python:
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
方案二、过滤用户提交的XML数据
关键词:<!DOCTYPE和<!ENTITY。

参考链接Web安全-XXE漏洞_Tr0e的博客-CSDN博客

logicfun
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XXE详解
洋洋的小黑屋
01-13 2649
XXE(XML外部实体注入),程序解析XML数据时候,同时解析了攻击者伪造的外部实体。 XML用途是为了跨平台语言传输数据。常常用于WEB开发等 XML格式规范 XML有自己的一个格式规范,由叫DTD的东西进行控制 DTD:Document Type Definition 即文档类型定义,用来为XML文档定义语义约束。可以嵌入在XML文档中(内部声明),也可以独立的放在另外一个单独的文件中(外部...
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
XXE漏洞介绍及利用
星落的博客
06-11 9899
XXE漏洞介绍 XXE全称为XML External Entity Injection即XMl外部实体注入漏洞XXE漏洞 XXE漏洞触发点往往是可以上传xmlwenjian的位置,没有对xml文件进行过滤,导致可加载恶意外部文件和代码,造成任意文件读取,命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害 XML介绍及用途 XMl被设计用来传输和存储数据。XML文档形成了一种树状结构,它从"根部"开始,然后扩展到"枝叶"。 XMl允许作者定义自己的标签和自己的文档结构。 XML.
XXE漏洞安全-全网最详细讲解】
最新发布
qq_44005305的博客
05-31 709
Entity)漏洞是一种安全漏洞,出现在使用XML解析器的应用程序中。它允许攻击者利用可信任的XML扩展功能来执行恶意操作,如读取本地文件、发起远程网络请求或执行任意命令。XXE漏洞的发生通常是由于应用程序在解析XML输入时未正确验证或限制实体引用。攻击者可以通过构造恶意的XML输入,将外部实体(externalentity)引用进来,然后利用这些实体来获取敏感信息或进行其他攻击。其中最常见的一种攻击是利用DTD(Document Type。
XXE漏洞基础及简单利用
m0re's blog
08-02 2131
本文目录前言XXE基础xxe概念XML基础知识实体引用:DTDXXE文件读取xxe-labXXE利用 前言 学习XXE,其实前段时间写过一篇关于XXE的,但是由于不可描述的原因,我那篇博客原稿没有了。再总结一次,这次好了备份。 XXE基础 xxe概念 XXE漏洞全称XML External Entity Injection,也就是xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻
Web安全 XXE漏洞的 测试和利用.(读取服务器的任何文件 和 收集服务器的内网信息.)
网络安全领域___专研者.
03-08 6447
XXE漏洞全称(XML External Entity Injection),即XML外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成:文件读取、命令执行、内网端口扫描、攻击内网网站,DOS攻击 等危害.(xxe漏洞触发的点往往是可以上传xml文件的位置的,没有对上传的xml文件进行过滤,导致可上传恶意xml文件.)
网络安全课第五节 XXE 漏洞的检测与防御
fegus的博客
07-11 1505
上一讲我们介绍了 SSRF 漏洞,一种专门针对服务端的请求伪造攻击,常被用于攻击内网。在里面我介绍了 Burp Collaborator 用于专门测试无回显漏洞的功能,在本讲的 XXE 漏洞测试中,我们依然可以使用,不知道你是否还记得怎么使用?下面,我们就开始今天的课程,一场关于 XML 外部实体注入(XXE漏洞的攻防之路。XXE(XML External Entity,XML 外部实体注入)正是当允许引用外部实体时,通过构造恶意内容,导致读取任意文件、执行系统命令、内网探测与攻击等危害的一类漏洞。PHP
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE漏洞主要出现在应用接收并解析XML格式的数据时。如果服务器开启了外部实体加载功能,攻击者可以通过构造含有恶意外部实体的XML文档,诱使服务器去读取或执行非预期的资源。比如,攻击者可以定义一个外部实体来...
5、XXE漏洞pdf资料
10-15
XXE(XML External Entity)漏洞是针对XML解析器的安全漏洞,它发生在XML解析器处理包含外部实体引用的...开发人员应采取适当的安全措施,确保XML解析过程安全,以防止攻击者通过XXE漏洞获取敏感信息或执行恶意操作。
105-web漏洞挖掘之XXE漏洞1
08-03
XXE漏洞详解】 XXE,全称为XML External Entity Injection,是XML解析器在处理XML输入时因未能正确配置,允许加载外部实体而导致的安全漏洞。这类漏洞允许攻击者注入恶意的XML外部实体,进而获取敏感信息、执行...
第四节 XXE漏洞利用 - 任意文件读取-01
09-15
XXE漏洞利用 - 任意文件读取 XXE(Xml External Entity)漏洞是一种常见的安全漏洞,特别是在Web应用程序中广泛存在。XXE漏洞是由于XML解析器对外部实体的解析不当所致,攻击者可以通过构建恶意XML文件来实现文件...
XXE漏洞的详解与利用
weixin_56606020的博客
03-15 4326
XXE漏洞详解 漏洞介绍: 如果XML 文件在引用外部实体时候,可以沟通构造恶意内容,可以导致读取任意文件,命令执行和对内网的攻击,这就是XXE漏洞。另外php版本大于5.4.45的默认不解析外部实体 XML: 设计用来进行数据的传输和存储, 结构是树形结构,有标签构成,这点很想HTML语言。但是XML和HTML有明显区别如下: 1.被设计用来传输和存储数据。 2.被设计用来显示数据。 XML结构: <?xml version="1.0" encoding="UTF-8"?&.
XXE漏洞学习及利用
qq_38352420的博客
06-30 416
XXE漏洞基础学习 当WEB服务使用XML或者JSON中的一种进行传输时,服务器可能会接收开发人员并未预料到的数据格式。如果服务器上的XML解析器的配置不完善,在JSON传输的终端可能会遭受XXE攻击,也就是俗称的XML外部实体攻击。 XXE是一种针对XML终端实施的攻击,黑客想要实施这种攻击,需要在XML的payload包含外部实体声明,且服务器本身允许实体扩展。这样的话,黑客或许能读取WEB服务器的文件系统,通过UNC路径访问远程文件系统,或者通过HTTP/HTTPS连接到任意主机。 所以学习XXE漏.
XXE漏洞漏洞及利用方法解析
weixin_43749601的博客
03-02 2410
XXE(XML External Entity Injection)即XML外部实体类注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。XXE漏洞触发的点往往是可以上传XML文件的位置,没有对上传的XML文件进行过滤,导致可上传恶意XML文件。 0x001 XML XML设计用来传送及携带数据信息,不用来表现或展示数据,HTML则用来表现数据,所以XML用途的焦点是它说明数据是什么,以
什么是XXE漏洞
Ping_Pig的博客
08-12 3016
漏洞解释 XML外部实体注入(XML External Entity)简称XXE漏洞,XML用于标记电子文件使其具体结构性的标记语言,可以用来标记数据,定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言,XML文档结构包括XML声明,DTD文档类型定义,文档元素. 常见的XML语法结构如下所示 <?xml version="1.0"?>XML声明 <!DOCTY...
XXE漏洞原理利用、攻击防御手段有哪些
白帽黑客鹏哥的博客
12-14 1382
XXE,全称是XML外部实体注入(XML External Entity Injection),是一种针对应用程序处理XML数据的安全漏洞。这种漏洞允许攻击者对正在解析XML数据的应用程序进行攻击,可能导致未授权的数据访问、服务拒绝攻击,甚至在某些情况下执行远程代码。
XXE
frinck的博客
11-01 1192
1.XML 什么是xml,他是用来干什么的? xml(xtensible markup language),可扩展标记语言,其实就是一种传输文本的格式,他的格式和html的格式非常相似,通常是来配置文件和存贮数据。而后来出现了json,json速度更快而被广泛使用 xml的内部实体和外部实体的格式是什么样子的 如图就是一个典型的xml文本: 格式:xml声明:<?xml...
Java代码审计XXE
qq_34012951的博客
02-16 112
获取参数data,通过inputSource进行提取的信息,进行外部实体解析。2、审计思路,全局搜索关键字,打开相关对应的文件。3.创建xml解析工厂。
geoserver xxe漏洞
09-02
XXE漏洞是一种安全漏洞,攻击者可以利用该漏洞来读取本地或远程服务器上的文件。这种漏洞通常是由于应用程序在处理XML输入时,对外部实体的处理不当而引起的。 具体到Geoserver的XXE漏洞,它可能会受到XML实体注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值