【网络安全】什么是XXE?从0到1完全掌握XXE

已于 2022-05-04 22:59:35 修改
阅读量5.3k 收藏 41
点赞数 4
分类专栏: 安全 渗透测试 黑客 文章标签: web安全 安全 网络安全 渗透测试 信息安全
于 2022-04-28 19:42:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hbohan/article/details/124481905
版权
本文详细介绍了XML外部实体注入(XXE)的概念、危害和多种攻击方式,包括文件读取、SSRF、盲XXE以及利用XInclude等。通过一系列靶场实验,演示了XXE漏洞的利用过程,并提供了防御XXE的有效措施,如禁用外部实体。
摘要由CSDN通过智能技术生成

前置知识 XML 定义实体

XML 实体允许定义在分析 XML 文档时将由内容替换的标记,这里我的理解就是定义变量,然后赋值的意思一致。就比如一些文件上传的 payload 中就会有。

XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD(document type definition) 的东西控制的,他就是长得下面这个样子

<?xml version="1.0"?>//这一行是 XML 文档定义
<!DOCTYPE message [
<!ELEMENT message (receiver ,sender ,header ,msg)>
<!ELEMENT receiver (#PCDATA)>
<!ELEMENT sender (#PCDATA)>
<!ELEMENT header (#PCDATA)>
<!ELEMENT msg (#PCDATA)>

上面这个 DTD 就定义了 XML 的根元素是 message,然后跟元素下面有一些子元素,那么 XML 到时候必须像下面这么写

<message>
<receiver>Myself</receiver>
<sender>Someone</sender>
<header>TheReminder</header>
<msg>This is an amazing book</msg>
</message>

而我们必须在 DTD 中创建一个实体,DTD 也就是定义文档类型的文件,一般来说都有<!DOCTYPE这种字样。

一旦解析器处理了 XML 文档,它将用定义的常量“Jo Smith”替换定义的实体&js

大多数情况下,框架会根据 xml 结构自动填充 Java 对象。

通俗一点自己写一段代码的话

示例代码:

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY xxe "test" >]>

这里 定义元素为 ANY 说明接受任何元素,但是定义了一个 xml 的实体(这是我们在这篇文章中第一次看到实体的真面目,实体其实可以看成一个变量,到时候我们可以在 XML 中通过 & 符号进行引用),那么 XML 就可以写成这样

示例代码:

<creds>
<user>&xxe;</user>
<pass>mypass</pass>
</creds>

我们使用 &xxe 对 上面定义的 xxe 实体进行了引用,到时候输出的时候 &xxe 就会被 “test” 替换。

【一>所有资源获取<一】
1、很多已经买不到的绝版电子书
2、安全大厂内部的培训资料
3、全套工具包
4、100份src源码技术文档
5、网络安全基础入门、Linux、web安全、攻防方面的视频
6、应急响应笔记
7、 网络安全学习路线
8、ctf夺旗赛解析
9、WEB安全入门笔记

什么是 XXE

个人认为,XXE 可以归结为一句话:构造恶意 DTD

介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞。

既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE。

XML 外部实体注入,全称为 XML external entity injection,某些应用程序允许 XML 格式的数据输入和解析,可以通过引入外部实体的方式进行攻击。

我们之前在0x01当中所讲的例子均为内部实体,但是实体实际上可以从外部的 dtd 文件中引用,我们看下面的代码:
示例代码:

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///c:/test.dtd" >]>
<creds>
    <user>&xxe;</user>
    <pass>mypass</pass>
</creds>

这样对引用资源所做的任何更改都会在文档中自动更新,非常方便(方便永远是安全的敌人

当然,还有一种引用方式是使用 引用公用 DTD的方法,语法如下:

<!DOCTYPE 根元素名称 PUBLIC “DTD标识名” “公用DTD的URI”>

这个在我们的攻击中也可以起到和 SYSTEM 一样的作用

重点二:

我们上面已经将实体分成了两个派别(内部实体和外部外部),但是实际上从另一个角度看,实体也可以分成两个派别(通用实体和参数实体),别晕。。

1.通用实体

用 &实体名; 引用的实体,他在DTD 中定义,在 XML 文档中引用

示例代码:

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE updateProfile [<!ENTITY file SYSTEM "file:///c:/windows/win.ini"> ]> 
<updateProfile>  
    <firstname>Joe</firstname>  
    <lastname>&file;</lastname>  
    ... 
</updateProfile>

2.参数实体:

最低0.47元/天 解锁文章
IT老涵
关注
  • 4
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
八、漏洞原理及利用(5)XXE 笔记和靶场
weixin_45540609的博客
05-08 385
一、XXE XML外部实体攻击(用户输入数据被当做XML实体代码执行,然后利用DTD部分可以通过SYSTEM关键词发起网络请求,从而获得数据) 典型攻击,定义实体必须写在DTD部分 外部实体是TDT部分的一个特殊地方(SYSTEM)可以调用外部文件进行XML文件的规划(可以发起网络请求) 1、XML 一种类似html的语言,用于传输数据,没有被预定义,需要自行定义标签 2、原理 有了XML实体,关键字’SYSTEM’会令XML解析器从URI中读取内容,并允许它在XML文档中被替换。 .
XXE-什么是XXE
qq_45514735的博客
03-05 2087
简单来说,XXE就是XML外部实体注入。 当允许引用外部实体时,通过构造恶意内容, 就可能导致任意文件读取、系统命令执行、 内网端口探测、攻击内网网站等危害。 XML XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 DTD DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。 DTD 可以在 XML 文档内声明,也可以外部引用。...
网络安全XXE漏洞
qq_52074678的博客
05-13 724
XXE漏洞 1.XML基础知识 eXtensible Markup Language可扩展标记语言 用途 配置文件 交换数据 XML内容 xml声明 XML格式要求 XML文档必须有根元素 XML文档必须有关闭标签 XML标签对大小写敏感 XML元素必须被正确的嵌套 XML属性必须被加引号 XML格式校验 DTD(Document Type Definition)文档类型定义 DTD内容之元素 ...
XXE
frinck的博客
11-01 1196
1.XML 什么是xml,他是用来干什么的? xml(xtensible markup language),可扩展标记语言,其实就是一种传输文本的格式,他的格式和html的格式非常相似,通常是来做配置文件和存贮数据。而后来出现了json,json速度更快而被广泛使用 xml的内部实体和外部实体的格式是什么样子的 如图就是一个典型的xml文本: 格式:xml声明:<?xml...
XXE详解
最新发布
qq_51780583的博客
03-23 2562
XXE(XML External Entity Injection)全称为XML外部实体注入,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE(XML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而...对于初学者,通过实践靶场可以更好地理解和掌握XXE漏洞的相关知识。
dtd-finder:列出DTD并使用这些本地DTD生成XXE有效载荷
02-05
【标题】"dtd-finder:列出DTD并使用这些本地DTD生成XXE有效载荷" 涉及到的是网络安全领域中的一个工具,主要用于探测和利用XML外部实体(XXE,XML External Entity)漏洞。DTD(Document Type Definition)是XML...
网络安全作业-by cumt梅苑杀手.docx
08-08
网络安全作业——cumt梅苑杀手.docx文档涵盖了多个网络安全领域的重要概念,主要集中在SQL注入(SQLi)、XML External Entity(XXE)攻击、Cross-Site Scripting(XSS)漏洞和上传漏洞的解决与防范。这些是网络攻防...
第85天:CTF夺旗-JAVA考点反编译&XXE&反序列化1
08-03
总结来说,理解并掌握Java反编译、XXE攻击、反序列化漏洞以及文件安全是提升网络安全技能的重要一环,对于CTF选手和开发人员来说,这些知识点不仅有助于在比赛中取得优势,也能在实际工作中提高系统的安全性。
XXE是什么?XXE漏洞原理及案例讲解(从0到1完全掌握XXE
白帽黑客八哥的博客
12-14 5345
XXE(XML外部实体注入)是一种针对应用程序处理XML数据的方式的攻击。XML文档可以定义实体,它们是存储文档中其他地方重复使用的数据的方式。外部实体是一种特殊类型的实体,它们的内容被定义在XML文档外部。XXE漏洞发生在当应用程序解析含有外部实体引用的XML文档时,没有正确地限制或禁止这些外部实体的使用。XXE是一种严重的安全漏洞,它的存在可能导致严重的安全风险。开发人员和安全专家必须了解此类漏洞的工作原理,确保在处理XML数据时采取适当的安全措施,以保护应用程序和数据的安全
XXE总结
Ciyaso的博客
07-16 740
一、XXE 是什么 XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将注意力集中于外部实体中,而不要被 XML 中其他的一些名字相似的东西扰乱了思维(盯好外部实体就行了),如果能注入 外部实体并且成功解析的话,这就会大大拓宽我们 XML 注入的攻击面(这可能就是为什么单独说 而没有
XXE知识总结,有这篇就够了!
热门推荐
南迪叶先森
07-14 2万+
公粽号:黒掌 一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主! XXE基础 XXE(XML External Entity Injection)全称为XML外部实体注入,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。而学习XXE要从认识XML开始。 XML基础 XML 指可扩展标记语言(EXtensible Markup Lang.
XXE漏洞详解
weixin_56714714的博客
07-25 7793
XXE 什么是XXE? ​ XXE全程xml外部实体,从安全角度来讲,由此引发的漏洞称之为XML外部实体攻击 XML作为一种使用较为广泛的数据传输格式,很多应用程序都包含有处理xml数据的代码, 许多过时或配置不当的XML处理器都会对外部实体进行引用,如果攻击者可以上传XML文档或者在XML文档 中添加恶意内容,通过易受攻击的代码,就能够攻击包含缺陷的XML处理器,XXE漏洞的出现和开发语言无关 只要是应用程序中对XML数据做了解析,而且这些数据又受用户控制,那么应用程序都可能受到XXE攻击 什么是XML?
特殊格式docx文档进行xxe的getshell
yggcwhat
04-16 969
0x00 背景 前两天在realworld挖到一个docx的xxe漏洞,昨天朋友和我说国外某CTF也出现其中考点了,所以我把docx格式的xxe来简单总结下 0x01前置知识 首先是关于docx这种格式 在微软2007之后 在传统的文件名都添加了x 比如pptx xlsx,还有我们本文提到的docx 他的优点是占用空间会比doc文件占有的少,并且他的本质其实是个xml文件 当你拿到一个docx文件时 使用本机自带的unzip命令进行解压 会得到如下的xml文件 因为docx文件的主要内容是保存
如何学好CTF
Python栈
06-24 824
CTF(Capture The Flag)是一种网络安全竞赛,需要参赛者解决各种加密、漏洞利用和数字取证等挑战。想要学好CTF,以下是一些建议:
[EXP]CVE-2019-9621 Zimbra<8.8.11 GetShell Exploit(配合Cscan可批量)
weixin_30414245的博客
05-06 998
发现时间 2019年03月18日 威胁目标 采用Zimbra邮件系统的企业 主要风险 远程代码执行 攻击入口 localconfig.xml 配置文件 使用漏洞 CVE-2019-9621 受影响应用 ZimbraCollabora...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值