pikachu XXE (XML外部实体注入)(皮卡丘漏洞平台通关系列)

最新推荐文章于 2025-02-17 17:45:12 发布
最新推荐文章于 2025-02-17 17:45:12 发布
阅读量8.3k 收藏 71
点赞数 49
分类专栏: pikachu # XXE 文章标签: 网络安全 xml dtd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/113812331
版权
本文详细介绍了Pikachu靶场中关于XXE(XML External Entity)漏洞的攻防技巧,包括官方简介、民间扩展、漏洞利用方法如查看系统文件、PHP源代码以及端口扫描,并探讨了无回显情况下的盲注尝试和LIBXML_NOENT参数的影响。适合网络安全初学者和爱好者深入理解XXE漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

一、来自官方的介绍以及来自民间的扩展

1、pikachu官方简介

2、小女子之前画的脑图

3、两个不错的博客

二、小白菜的闯关

1、查看系统文件内容

2、查看php源代码

3、爆破开放端口

三、两点思考

1、这里不能试盲注?

2、如果没有LIBXML_NOENT

一、来自官方的介绍以及来自民间的扩展

1、pikachu官方简介

2、小女子之前画的脑图

3、两个不错的博客

最好先看看下面两篇,补充一下xml实体和xxe的基础知识再做这个靶场

https://www.freebuf.com/articles/web/177979.html

https://lalajun.github.io/2019/12/03/WEB-XXE/

二、小白菜的闯关

pikachu的xxe只有一关,就像下图这样

随便输入个非xml的内容,会有一些“友善”的提示

随便输入个包含命名实体(内部实体)的xml数据(以下代码中xxe是命名实体的实体名称):

<?xml version="1.0"?> 
<!DOCTYPE foo [    
<!ENTITY xxe "仙女" > ]> 
<foo>&xxe;</foo>

网页上回显“仙女”,说明网页对输入的xml数据是有结果回显的

注意:这里只能判断是否有回显,不能判断是否支持外部实体,后续章节分析代码的时候会做对比。

之前已经判断了输入内部实体是有回显的,那接下来可以用带内外部实体注入的方法,来确定是否支持外部实体,以及实施攻击。

最低0.47元/天 解锁文章
XXEXML外部实体注入漏洞
weixin_45253622的博客
03-26 537
XXE:“xml external entity injection” 漏洞原理 XXE(XMLExternal Entity Injection)也就是XML外部实体注入XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml库,而libxml2.9以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体和外部参数实体)做合适的处理,并且实体的URL支持file://和ftp://等协议,导致可加载恶意外部文件和代码,造
pikachuXXE漏洞
weixin_46062722的博客
02-25 725
漏洞介绍 XXE -“xml external entity injection” 既"xml外部实体注入漏洞"。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题" 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 具体的关于xml实体的介绍,网络上有很多,自己动手先查一下。 现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。 以PHP为例,在PHP里
pikachu靶场通关全流程(超详细),看这一篇就够了!
最新发布
lza20001103的博客
02-17 2514
pikachu靶场通关全流程(超详细),看这一篇就够了!
PIKACHUXXE
qq_62078839的博客
04-18 849
概述 XXE -"xml external entity injection" 既"xml外部实体注入漏洞"。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题" 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 具体的关于xml实体的介绍,网络上有很多,自己动手先查一下。 现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。 以PHP为例,在PHP里
Pikachu-XXE
baynk的博客
11-19 4139
0x00 XXE -“xml external entity injection” 既"xml外部实体注入漏洞"。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题" 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从...
皮卡丘(pikachu)XXE
weixin_44787832的博客
07-23 2651
XXE漏洞 第一部分:XML声明部分 <?xml version="1.0"?> 第二部分:文档类型定义 DTD <!DOCTYPE note[ <!--定义此文档是note类型的文档--> <!ENTITY entity-name SYSTEM "URI/URL"> <!--外部实体声明--> ]> 第三部分:文档元素 <note> <to>Dave</to> <from>T
网络安全-XXEXML外部实体注入)原理、攻击及防御_c# 如何防止xml外部实体注入
2401_84266286的博客
05-04 694
XML外部实体注入(XML External Entity,为什么不取首字母呢…),简称XXE漏洞
pikachu 暴力破解 Brute Force(皮卡丘漏洞平台通关系列
箭雨镜屋
02-14 9617
一、官方概述 pikachu官方对暴力破解的介绍如下,我要嘲笑一下他brute拼错了(~ ̄▽ ̄)~ 二、仙女的通关 暴力破解,首先得有字典。
网络安全-XXEXML外部实体注入)原理、攻击及防御_c# 如何防止xml外部实体注入(1)
2401_84252743的博客
04-29 396
XML外部实体注入(XML External Entity,为什么不取首字母呢…),简称XXE漏洞。在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。
pikachu-xxe
m0_62094846的博客
09-19 310
然后就能在本地的日志里看到test.txt的内容了(要开访问日志权限)但是这里面返回速度很快的,在网页上测试的时候还是回显很慢,感觉有点问题。但是扫描80端口会快,81会慢,因为80端口开放了。点 response received进行排序。在WWW下保存以test.dtd为名的文件。选择 response received。测试一下是否有xxe漏洞,且是否有回显。把echo $html 注释掉。两个回显都是这样的报错信息。填好数据,然后开始爆破。表示出来,再进行排序。
pikachuxxe
qq_43665434的博客
02-19 507
pikachuxxe XML基础知识 参考文章 一、什么是xxeXXE即“xml external entity injection”即“xml外部实体注入漏洞”。 攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题。 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 现在很多语言里对应的解析xml的函数默认是禁止解析xml外部实体内容的 就如在php中,对于xml的解析用的是libxml,在libxml
pikachu--XXE
firecjh的博客
06-10 364
3)查看PHP源代码。(文件路径以自己实际电脑为准)XXE进入测试页面。
Pikachu靶场——XXE 漏洞
来日可期的博客
09-29 4496
XXEXML External Entity)攻击是一种利用XML解析器漏洞的攻击。在这种攻击中,攻击者通过在XML文件中插入恶意实体来触发解析器加载恶意代码或文件,从而执行任意代码、读取本地文件等操作。在XXE攻击中,攻击者通常会构造一个包含恶意实体的XML文件,并将其提交到目标服务器上进行解析。当服务器使用XML解析器解析文件时,会读取实体并展开其定义,从而导致恶意代码被执行或文件被泄露。
Pikachu漏洞练习平台XXEXML外部实体注入
Welcome To Myon'Blog !
11-16 1191
文档类型定义(DTD)可定义合法的XML文档构建模块,它使用一系列合法的元素来定义文档的结构,DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。内部的 DOCTYPE 声明:假如 DTD 被包含在 XML 源文件中DOCTYPE 根元素 [元素声明]>外部文档声明:假如 DTD 位于 XML 源文件的外部DOCTYPE 根元素 SYSTEM "文件名">]>
pikachu--xxe
qq_43660551的博客
07-12 263
发现这里采用post方式传输数据,且没对xml参数进行过滤,simplexml_load_string()函数将用户传入的xml直接转换为SimpleXMLElement对象,故这里存在被篡改参数内容,造成xxe漏洞。现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。以PHP为例,在PHP里面解析xml用的是libxml,其在≥2.9.0的版本中,默认是禁止解析xml外部实体内容的。写一个正经的xml
pikachu通关教程(XXE
Bu2n的博客
12-15 1345
xxe漏洞 xxe漏洞 源码 $html=''; //考虑到目前很多版本里面libxml的版本都>=2.9.0了,所以这里添加了LIBXML_NOENT参数开启了外部实体解析 if(isset($_POST['submit']) and $_POST['xml'] != null){ $xml =$_POST['xml']; // $xml = $test; $data = @simplexml_load_string($xml,'SimpleXMLElement',LIBX.
Pikachu系列——XXE
Zlirving_的博客
05-22 1664
Pikachu靶场系列持续更新~   要像追剧追番一样追下去哦   实验九 —— XXE XXE概述 xml外部实体注入 攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题。也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入XML概念 XML是可扩展的标记语言,设计用来进行数据的传输和存储, 结构是树形结构,有标签构成,这点很像HTML语言。但是XML和HTML有明显区别如下: XML ----
Pikachu靶场通关笔记--XXE
weixin_45908624的博客
12-27 776
xxe
pikachu xxe漏洞
09-04
- *2* *3* [XXE(XML外部实体注入)漏洞分析——pikachu靶场复现](https://blog.csdn.net/qq_45612828/article/details/126116429)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...
评论 20
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值