xxe漏洞(xml外部实体注入漏洞)

最新推荐文章于 2024-04-10 09:36:34 发布
最新推荐文章于 2024-04-10 09:36:34 发布
阅读量413 收藏 1
点赞数
文章标签: 网络 安全 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51345235/article/details/131146194
版权

想要挖掘一个漏洞我们首先就要知道这个漏洞是如何产生的。

1.漏洞产生原理

XXE漏洞就是”攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题”

也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入

2.漏洞利用

将payload注入XML文件中,一旦文件被执行,将会读取服务器上的本地文件,并对内网发起访问扫描内部网络端口。

有回显和无回显:有回显的情况可以直接在页面中看到Payload的执行结果或现象,无回显的情况又称为blind xxe可以使用外带数据通道提取数据

3.靶场案例讲解——使用pikachu-xxe讲解

在这里给大家推荐: http://114.116.45.110/里面有各种靶场,不想自己搭建的小伙伴可以使用一下

正常回显XXE

正常回显XXE是最传统的XXE攻击,在利用过程中服务器会直接回显信息,可直接完成XXE攻击。

报错XXE

报错XXE是回显XXE攻击的一种特例,它与正常回显XXE的不同在于它在利用过程中服务器回显的是错误信息,可根据错误信息的不同判断是否注入成功。

盲注XXE

当服务器没有回显,就需要选择使用盲注了。可组合利用file协议来读取文件或http协议和ftp协议来查看日志。

1.查看受攻击机的服务器日志
2.通过Dnslog平台查看是否进行查询
3.Burp Collaborator Everywhere 插件验证

进入靶场可以看到一个接收xml数据的api,那么我们在实施攻击之前判断一下有无回显:

<?xml version="1.0"?>
<!DOCTYPE ANY [   
<!ENTITY xxe "小黑子" > ]>
<a>&xxe;</a>

输入上述payload之后回显了”小黑子”说明存在回显。注意:只能判断是否存在回显,不能判断是否支持外部实体。

在知道存在回显后,可以尝试读取一些敏感目录,比如读取c:/windows/win.ini,它是每个windows系统都有的,linux系统的的话可以读取/etc/passwd,当然想要读取其他文件目录,只需更改绝对路径即可(file://协议只能用绝对路径)

payload:

<?xml version="1.0"?>
<!DOCTYPE ANY [
     <!ENTITY xxe SYSTEM "file:///c:/windows/win.ini"> ]>
<a>&xxe;</a>

成功读取文件内容。

4.危害

1.DOS攻击

2.SSRF攻击

3.使用file协议读取任意文件

4.端口探测

5.利用支持的协议执行系统命令

5.防护

1.禁用外部实体

2.过滤和验证用户提交的XML数据

xiaoheizi安全
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁...
XXE漏洞
热门推荐
chaojixiaojingang
08-31 1万+
XXE漏洞概念:        XXEXML External Entity injection)XML 外部实体注入漏洞,如果XML 文件在引用外部实体时候,可以沟通构造恶意内容,可以导致读取任意文件,命令执行和对内网的攻击,这就是XXE漏洞,这个漏洞需要大家还有一定的XML协议基础,因此为了更好的去理解漏洞本身原理,必须给大家介绍一下XML相关的知识点。 (1)XML概念:     ...
XXE注入payload列表:技术解析与应用指南
gitblog_00093的博客
04-10 363
XXE注入payload列表:技术解析与应用指南 项目地址:https://gitcode.com/payloadbox/xxe-injection-payload-list ![](https://gitcode.net payloadbox/xxe-injection-payload-list/mascot.svg?width=64&height=64) 在Web安全领域,XML Ex...
基于XXE漏洞网络安全分析与利用工具开发
最新发布
05-07
当应用是通过用户上传的XML文件或POST请求进行数唱的传输,并日应用没有禁止XNML引用外部实体,也没有过滤用户提交的XML数据,那么就会产生XML外部实体注入漏洞,即XXE漏洞XXE漏洞发生在应用程序解析XML输入时,...
CVE-2018-11788:Apache Karaf XXE漏洞(CVE-2018-11788)
03-18
在最近对Apache Karaf的研究中,我发现其XML解析器中存在一些XXEXML外部实体注入漏洞。 导致解析器不正确地解析XML文档。受影响的版本Apache Karaf <= 4.2.1 Apache Karaf <= 4.1.6分析根据,Apache ...
微信最新支付sdk-修复了最近的漏洞
07-06
微信支付商户,最近暴露的XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞
WSSAT:Web服务安全评估工具
03-05
WSSAT-Web服务安全评估工具 WSSAT是一个开放源代码Web服务安全扫描工具,它提供了一个动态环境,只需编辑其配置文件即可添加,更新或删除...外部实体攻击-XXE XPATH注入 HTTP OPTIONS方法 跨站点跟踪(XST) 缺少X-X
xxe注入漏洞
m0_55306747的博客
05-16 71
1.我们知道xml文档由xml标记语言进行编写,可以自定义标签以及属性 而dtd文档的存在则是去约束这个自定义的范围,让其趋近于某个规则 2.dtd文档可以写在xml文档的开头,这样的dtd文档被成为内部声明 当然也可以通过dtd的语法引用外部dtd文档的内容,这种dtd文档的嵌入 方法称为外部声明 dtd文档可以对元素进行定义,这个定义很强大,它可以定义元素的数据类型 (根据不同的数据类型有不同的解读规则,这个日后细讲) 定义包含的子元素,定义元素出现的次数。 此外dtd文档还可以定义属性,定义属性的默
XXE注入漏洞
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
09-03 3331
什么是XML 要想清楚XXE漏洞,首先要了解XML XML 可扩展标记语言(EXtensible Markup Language)。 它是一门用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型。 XML 很像HTML,但是标签没有被预定义,需要自行定义标签。它的文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。它的设计宗旨是传输数据,而不是显示数据。 php版本大于5.4.45的默认不解析外部实体 传参实体:有% 一般实体:无% xxe漏洞与ssrf漏洞相似 虽然场景不同,
XML外部实体注入漏洞——XXE简单分析
未完成的歌~的博客
02-01 1146
前言: 前几天做了南邮 NJUPT CTF的几道题,感觉自己要学的的东西还有太多!今天借着比赛中的一道Web题 来系统的学习下XML外部实体注入(XML External Entity Injection) 题目:Fake XML cookbook 题目:Fake XML cookbook 平台暂时还未关闭,想要复现的抓紧了! 网址:https://nctf.x1c.club/challenges#Web ...
XML外部实体注入——XXE漏洞详解
Gefangenes的博客
07-02 1905
首先要了解什么是XXE漏洞,首先应该了解一下什么是XMLXML(可扩展标记语言,英文全称:eXtensible Markup Language)是一种用于描述数据结构和交换数据的标记语言。XML是一种非常灵活的语言,可以用于描述各种类型的数据,如文档、图像、音频、视频等。这个解释太官方,我们可以将xml语言和html对比着再来解释一下1>xml仅仅是纯文本,他不会做任何事情2>xml可以自己发明标签(允许定义自己的标签和文档结构)3>专门用来存放传输数据的东西。
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、URL等。当XML解析器解析XML文档时,如果不对外部实体进行限制,攻击者可以通过构造恶意的XML文档,将外部实体指向敏感文件或者恶意URL,从而导致漏洞。 具体来说,攻击者可以在XML文档中定义一个实体,使用DTD(Document Type Definition)语法将该实体指向一个外部文件,然后在XML文档中使用该实体。当XML解析器解析该实体时,就会将指定的外部文件读取进来,从而导致漏洞。 例如,下面的XML文档定义了一个名为“file”的实体,指向了一个敏感文件“/etc/passwd”: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE message [ <!ELEMENT message (#PCDATA)> <!ENTITY file SYSTEM "file:///etc/passwd"> ]> <message>&file;</message> ``` 如果XML解析器不对外部实体进行限制,那么解析该文档时就会读取“/etc/passwd”文件的内容,并将其包含在<message>元素中返回给应用程序,从而导致敏感信息泄漏。 为了防止XXE漏洞,可以采取以下措施: 1. 禁止使用外部实体,或者限制外部实体的使用范围。可以在XML解析器中设置相关参数,例如禁止加载外部实体、禁止解析DTD等。 2. 对外部实体进行白名单过滤,只允许加载特定的URL或文件。 3. 检查输入数据,避免恶意输入注入XML文档中。 4. 对于持久化的XML数据,应该使用安全XML库来处理,例如使用DOM4J或JAXB等库,这些库会自动过滤掉外部实体

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaoheizi安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值