利用 XML 外部实体注入

最新推荐文章于 2024-06-19 19:05:40 发布
最新推荐文章于 2024-06-19 19:05:40 发布
阅读量136 收藏
点赞数
文章标签: xml java 前端 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73630977/article/details/131329458
版权

目录

前言:

在现实生活中大量存在有关系的数据,XML语言出现的根本目标在于描述在现实生活中经常出现的有关系的数据。
在XML语言中,它允许用户自定义标签。一个标签用于描述一段数据;一个标签可分为开始标签和结束标签,在开始标签和结束标签之间,又可以使用其它标签描述其它数据,以此来实现数据关系的描述。(在XML中,用ELEMENT表示元素,用ENTITY表示实体)

环境准备

1.开启OWASP靶机和Kali虚拟机

利用XML外部实体注入案例

1.浏览器打开:

http://_(OWASP靶机IP)/mutillidae/index.php?page=xml-validator.php

在这里插入图片描述
2.这是一个 XML 验证器。提交样例进行测试:在 XML 框中,输入然后点击 Validate XML。(测试显示效果)

<somexml><message>Hello World</message></somexml>

在这里插入图片描述
3.测试它是否正确地处理了实体标记。输入以下内容:

<!DOCTYPE person [
 <!ELEMENT person ANY>
 <!ENTITY person "Mr Bob">
 ]>
 <somexml><message>Hello World &person;</message></somexml>

在这里插入图片描述
在这里,只定义了一个名字为person的内部实体将 Mr Bob 设为其值。解析器在显示结果时解释了实体并替换该值(测试使用实体的显示效果),所以显示:Hello World Mr Bob

4.这就是内部实体的使用。再尝试一个外部实体的使用,在这个结果,可以看到注入后返回文件的内容:

<!DOCTYPE fileEntity [
 <!ELEMENT fileEntity ANY>
 <!ENTITY fileEntity SYSTEM "file:///etc/passwd">
 ]>
 <somexml><message>Hello World &fileEntity;</message></somexml>

在这里插入图片描述

(利用XML的外部注入漏洞,获取本地,也就是靶机上的passwd文件内容)
使用这种技术,可以读取系统中任何对运行 web 服务器用户可读的文件。

计算机网络一班黄珀玮
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
XML外部实体注入
Lemon's blog
11-19 1203
前言: 最近做了一道WEB题,涉及到XML外部实体注入(即XXE漏洞),恰好也没有系统的学习过,这次就了解一些其攻击方式包含的原理,并通过WEB题来实战一番。 0x01:简单了解XML XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 被设计为传输和存储数据,其焦点是数据的内容 XML 被设计用来结构化、存储以及传输...
XML外部实体注入(XXE)
web1的博客
09-08 475
关键利用点:外部实体 XML是什么? XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD(document type definition) 的东西控制的义的 xxe 实体进行了引用 相关实验 1、利用外部实体来检索文件 1.1 访问产品页面,单击“检查库存”,然后在 Burp Suite 中拦截生成的 POST 请求。 1.2 在 XML 声明和stockCheck元素之间插入以下外部实体定义: <!DOCTYPE test [ <!ENTITY xxe SYSTEM "fil
XML外部实体注入总结(XXE靶机复现)
Aiwin的博客
05-15 5282
XML外部实体注入,Vuln-XXE靶机复现和无回显XXE的使用
XML 外部实体注入
2201_75370376的博客
06-22 881
SQL注入是一种web安全漏洞,使攻击者干扰应用程序对其数据库的查询。它通常使攻击者可以查看他们无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导致应用程序的数据发生不正常更改。在某些情况下,攻击者可以逐步扩大SQL注入攻击,以危害底层服务器或其他后端基础设施。
【网络安全】XXE--XML外部实体注入
边缘拼命划水的小陈
04-24 1009
XML外部实体注入XML EXTERNAL ENTITY)简称XXE漏洞,概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
【burpsuite安全练兵场-服务端10】XML外部实体注入(XXE注入)-9个实验(全)
01-11 7948
【BP靶场portswigger-服务端10-XML外部实体注入(XXE注入)】9个实验-万文详细步骤
[Timeline Sec] - CVE-2020-29436:Nexus3 XML外部实体注入复现1
08-03
声明:请勿用作违法用途,否则后果自负0x01 简介Repository Manager)服务。0x02 漏洞概述编号:CVE-2020-29436/servic
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁...
xxe-injection-payload-list::bullseye:XML外部实体(XXE)注入有效负载列表
02-06
xxe-injection-payload-list::bullseye:XML外部实体(XXE)注入有效负载列表
xml外部实体攻击
07-17
xml外部实体使用,漏洞产生原因,详细举例攻击原理,修复方法等
java导出excel、xml
03-09
java实现导入或者导出excel、xml、pdf等。
测试XXE注入.docx
09-06
XXE 注入XML 外部实体注入)是一种类型的注入攻击,它会影响解析 XML 文件的应用程序。攻击者可以通过构造恶意的 XML 文件,使用外部实体来引用文件系统中的文件或网络资源,从而导致读取任意文件、执行系统命令、...
xxe-xml外部实体注入
nigo134的博客
07-27 2868
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
应用安全系列之七:XML注入
jimmyleeee的专栏
02-28 495
本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施,不排除有些语言或者系统提供的安全的API可以更好地更直接地解决问题,也不排除可以严格地输入验证来解决。 如果有不妥之处,希望可以留言指出。谢谢! ...
XXE(XML外部实体注入)详解
一期一会的博客
01-22 5166
XXE漏洞 XXE(XML External Entity Injection)又称为“XML外部实体注入漏洞”。 当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。 XML简介 XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTM
java: 不兼容的类型: org.apache.xmlbeans.XmlObject无法转换为x2006.main.CTRow
最新发布
在怀疑和自我怀疑中迷失
06-19 251
我使用的xmlbeans版本是5.0,使用xmlbeans包做转换时,报错,正如标题显示得那样。
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞(XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值