安全渗透学习- Pikachu(XXE)

最新推荐文章于 2024-04-12 11:40:16 发布
最新推荐文章于 2024-04-12 11:40:16 发布
阅读量750 收藏
点赞数 1
分类专栏: WEB渗透 文章标签: 安全漏洞 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Refrain_mh/article/details/120226289
版权

XXE(XML External Entity Injection) XML外部实体注入

与SQL注入相对应,XXE就是在可以解析XML的地方(比如一个输入框等处)只要可以解析XML语言的代码就可以,在这种地方提交XML的恶意代码来执行。

XXE漏洞主要也是因为没有对用户输入(用户提交的数据,比如你在输入框输入这个XML恶意代码)并没有合理检测与过滤,将用户提交的数据当XML来执行,造成XXE(XML外部实体注入),最简单的利用方法其实就是用hackbar V2里的XXE选项,它自带了XXE的payload生成功能,直接复制然后放到输入框(可以解析XML代码的地方)就可以了。

所以要了解XXE漏洞,首先需要学习了解XML的组成

XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言 (就是如果数据都放到html中的话整个html就会显得特别臃肿,由此,html只用来展示网页的页面,而XML则用来负责存储和传输相关的数据,各司其职)

XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素

XXE漏洞的话主要是因为DTD的部分出了问题

常见的XML语法结构如下所示

DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。

DTD 可以在 XML 文档内声明,也可以外部引用。

DTD(Document Type Definition,文档类型定义),用来为 XML 文档定义语法约束,可以是内部申明也可以使引用外部DTD现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。

 内部申明DTD格式 

<!DOCTYPE 根元素 [元素申明]>

 外部引用DTD格式

<!DOCTYPE 根元素 SYSTEM "外部DTD的URI">

引用公共DTD格式

<!DOCTYPE 根元素 PUBLIC "DTD标识名" "公共DTD的URI">

pakachu靶场安装:

直接利用docker安装

sudo docker run -d -p 8000:80 area39/pikachu:latest

然后 docker ps -a查看运行镜像

然后ip:8000端口直接访问

构造payload

<?xml version = "1.0"?>

<!DOCTYPE note [

    <!ENTITY hacker "test">

]>

<name>&hacker;</name>

外部实体引用Payload 查看服务器文件

<?xml version = "1.0"?>

 <!DOCTYPE ANY [

     <!ENTITY f SYSTEM "file:///etc/passwd"> ]>

 <x>&f;</x>

防御办法

使用开发语言禁用外部实体;

过滤SYSTEM、PUBLIC等关键字;

xxe-lab地址:https://github.com/c0ny1/xxe-lab

重启艺术大师
关注
专栏目录
33-3 XXE漏洞 - XXE外部实体注入(文件读取)
weixin_43263566的博客
04-02 346
这个XML文档看起来很简单,但实际上它包含了一种XML外部实体注入(XXE)攻击。通过在DTD中定义恶意实体并在XML文档中引用它们,攻击者可以利用XXE漏洞来读取敏感文件、执行命令或进行其他恶意操作。实体可以在XML文档中被引用,类似于变量,在文档解析过程中会被替换为其定义的值。:这是DOCTYPE声明,用于指定XML文档的文档类型定义(DTD)。,但实际上它可以被定义为任何攻击者想要的内容,包括文件路径、命令等。:这是XML文档的声明部分,指定了XML版本和字符编码。:在DTD中定义了一个实体。
构建完善的安全渗透测试环境:推荐工具、资源和下载链接
weixin_43263566的博客
02-14 3821
安全渗透环境准备(工具下载)
Pikachu渗透测试
Cper的博客
10-29 1091
Pikachu靶场渗透测试的实践与总结
皮卡丘(pikachu)XXE
weixin_44787832的博客
07-23 2608
XXE漏洞 第一部分:XML声明部分 <?xml version="1.0"?> 第二部分:文档类型定义 DTD <!DOCTYPE note[ <!--定义此文档是note类型的文档--> <!ENTITY entity-name SYSTEM "URI/URL"> <!--外部实体声明--> ]> 第三部分:文档元素 <note> <to>Dave</to> <from>T
Pikachu-XXE
baynk的博客
11-19 4041
0x00 XXE -“xml external entity injection” 既"xml外部实体注入漏洞"。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题" 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从...
pikachu XXE (XML外部实体注入)(皮卡丘漏洞平台通关系列)
箭雨镜屋
02-17 6775
一、来自官方的介绍以及来自民间的扩展 1、pikachu官方简介 2、小女子之前画的脑图 3、两个个人感觉不错的博客 https://www.freebuf.com/articles/web/177979.html https://lalajun.github.io/2019/12/03/WEB-XXE/ ...
pikachu渗透靶场&Web安全从入门到放弃】之 越权漏洞
algae
04-17 762
46.9-2 垂直越权漏洞原理和测试流程案例(Av96582332,P46) if(isset($_GET['submit']) && $_GET['username']!=null){ //没有使用session来校验,而是使用的传进来的值,权限校验出现问题,这里应该跟登录态关系进行绑定 $username=...
Pikachu靶场练习总结
weixin_47387913的博客
03-05 2934
Pikachu靶场练习总结 前辈们好!作为一个进入安全行业的初学者,靶场练习必不可少,我将我对某些靶场练习的总结写在这里,错误之处请多多指正。 靶场:pikachu 关卡:暴力破解 基于表单的暴力破解: 先看提示: 用户名和密码我们都是不清楚的,可建立密码库利用burp中的Intruder功能进行暴力破解,先通过Proxy截取报文,发送到Intruder中。 因为用户名和密码都是不清楚的,那么我们要添加username和password2个爆破选...
渗透测试环境搭建PHPstudy+Pikachu
came_861的博客
12-20 293
渗透测试环境搭建PHPstudy+Pikachu
WEB漏洞——XXE
最新发布
qq_63594215的博客
04-12 889
本次文章主要介绍XXE漏洞的原理,利用以及防御的过程,另外还有介绍一点XML的基础知识,详情请见下文。a) xml,eXtensible Markup Language,可扩展标记语言,是一种标记语言,使用简单标记描述数据b) xml是一种非常灵活的语言,没有固定的标签,所有标签都可以自定义c) 通常,xml被用于信息的传递和记录,因此,xml经常被用于充当配置文件如果把HTML和XML进行对比的话,HTML进行对比的话,HTML旨在显示数据信息,而XML旨在用来进行数据的传输和存储。
pikachu通关教程(XXE
Bu2n的博客
12-15 1268
xxe漏洞 xxe漏洞 源码 $html=''; //考虑到目前很多版本里面libxml的版本都>=2.9.0了,所以这里添加了LIBXML_NOENT参数开启了外部实体解析 if(isset($_POST['submit']) and $_POST['xml'] != null){ $xml =$_POST['xml']; // $xml = $test; $data = @simplexml_load_string($xml,'SimpleXMLElement',LIBX.
渗透测试——pikachu环境部署
Boom!脑洞大爆炸的博客
07-29 2115
手把手教你部署pikachu渗透测试平台
pikachu皮卡丘渗透测试靶场】远程命令、代码执行漏洞原理及案例演示
algae
04-17 2215
37.6-1 远程命令、代码执行漏洞原理及案例演示(Av96582332,P37) RCE(remote command/code execute)概述 RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口 ...
pikachu靶场 :十三、XXE
qq_43233085的博客
02-02 810
pikachu靶场 :十三、XXE概述XXE 漏洞盲注 概述 XXE -“xml external entity injection” 既"xml外部实体注入漏洞"。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题" 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 具体的关于xml实体...
web安全_皮卡丘_csrf
weixin_44110913的博客
03-05 743
csrf源码分析 pikachu-csrf: CSRF(get) allen的住址是nba76,lucy的住址为usa,allen想...
web渗透--25--XXE外部实体注入
武天旭的博客
09-16 1365
1、漏洞描述: XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击。漏洞是在对非安全的外部实体数据进行处理时引发的安全问题。 在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念。实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容。如果在这个过程中引入了“污染”源,在对XML文档处理后则可能导致...
渗透测试-pikachu反弹shell-拿下服务器
weixin_68243135的博客
08-13 634
pikachu反弹shell
Pikachu系列——XXE
Zlirving_的博客
05-22 1448
Pikachu靶场系列持续更新~   要像追剧追番一样追下去哦   实验九 —— XXE XXE概述 xml外部实体注入 攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题。也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 XML概念 XML是可扩展的标记语言,设计用来进行数据的传输和存储, 结构是树形结构,有标签构成,这点很像HTML语言。但是XML和HTML有明显区别如下: XML ----
XXEpikachu
W小哥
01-16 587
什么是XML? XML 文件是 XML(可扩展标记语言)数据文件。它的格式与.HTML 文档非常相似,但使用自定义标记来定义对象和每个对象中的数据。XML 文件可以被认为是基于文本的数据库。 XML 类似于 HTML。XML 和 HTML 都包含 用于描述页面或文件内容的标记符号。但是,HTML 仅描述了网页的内容(主要是文本和图形图像)的显示和交互方式。例如,放置在标记标记内的字母“p”将开始一...
pikachu XXE
08-31
pikachu是一个开源的漏洞扫描工具,XXE(XML External Entity)漏洞是其中一个模块。 XXE漏洞是指攻击者通过构造恶意的XML实体来访问本地或远程文件系统,从而获取敏感信息或执行任意代码。这样的漏洞通常出现在使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值