XXE(XML External Entity attack)XML外部实体注入攻击

最新推荐文章于 2024-05-19 22:38:58 发布
最新推荐文章于 2024-05-19 22:38:58 发布
阅读量269 收藏
点赞数
文章标签: xml php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mkl7717/article/details/130780928
版权
本文详细介绍了XXE(XML External Entity attack)攻击,包括其原理、构造方式及其对系统的危害,如文件读取、拒绝服务攻击等。通过实例展示了如何构造有回显和无回显的XXE payload,并提到了PHP中的简单XML加载器可能存在的漏洞。此外,还讨论了如何利用XXE进行内网信息探测和攻击内网网站。最后,通过CTF题目的分析,加深了对XXE攻击的理解。
摘要由CSDN通过智能技术生成

示例:

    <?xml version = "1.0" encoding = "utf-8"?>
    <!DOCTYPE test [
    <!ENTITY file SYSTEM "file:///etc/passwd">
    <!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
    ]>
    <author>&file;©right;</author>

导语

  XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load 默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。

  尽管XXE漏洞已经存在了很多年,但是它从来没有获得它应有的关注度。很多XML的解析器默认是含有XXE漏洞的,这意味着开发人员有责任确保这些程序不受此漏洞的影响。 比如今年7月刚爆出的微信支付XXE漏洞案例。

  libxml2.9.1及以后,默认不解析外部实体。可以在此了解libxml各版本具体改动情况。本次测试在Window下使用的php5.4.45(libxml Version 2.7.8)。Linux中需要将libxml低于libxml2.9.1的版本编译到PHP中,可以使用phpinfo()查看libxml的版本信息。当XML声明中standalone值是yes的时候表示DTD仅用于验证文档结构,外部实体将被禁用。但它的默认值是no,而且有些parser会直接忽略这一项。

XML外部实体

  本文主要讲外部实体注入攻击,所以基本的XML语法就不过多的描述。主要看一下DTD-实体

首先让我们了解一下基本的PAYLOAD结构

DTD:Document Type Definition 即文档类型定义,用来为XML文档定义语义约束。可以嵌入在XML文档中(内部声明),也可以独立的放在另外一个单独的文件中(外部引用)。

实体分为一般实体和参数实体

  1. 一般实体的声明:<!ENTITY 实体名称 "实体内容">

   引用一般实体的方法:&实体名称;

  p.s.经实验,普通实体可以在DTD中引用,可以在XML中引用,可以在声明前引用,还可以在实体声明内部引用。

  2. 参数实体的声明:<!ENTITY % 实体名称 "实体内容">

   引用参数实体的方法:%实体名称;

  p.s.经实验,参数实体只能在DTD中引用,不能在声明前引用,也不能在实体声明内部引用。

  如果实体名称中出现如<的特殊字符,解析就会失败。为了避免这种情况,XML用实体引用替换特殊字符。XML预定义了五个实体引用,即用<、 >、 &、 &apos、 "替换<>&'"

DTD实体声明(重点)

  1. 内部实体声明

  <!ENTITY 实体名称 "实体的值">

  当引用一般实体时,由三部分构成:&实体名,当是用参数传入xml的时候,&需URL编码,不然&会被认为是参数间的连接符号。

  示例:

   
最低0.47元/天 解锁文章
网安高启强
关注
XML外部实体注入攻击
Ethan024的博客
04-17 183
实验环境: 皮卡丘靶场—XXE 实验步骤: 提交一个无害的内部实体: <?xml version="1.0"?> <!DOCTYPE note [ <!ENTITY hacker "1111"> ]> <name>&hacker;</name> 2. 指定读取系统文件: <?xml version="1.0"?> <!DOCTYPE ANY [ <!ENTITY f SYSTEM "file:///e
XXE - XML外部实体注入攻击
javaEE_zero的博客
01-04 630
XXE漏洞、XML外部实体注入攻击
XMLXXE漏洞 XML外部实体注入攻击
qq_60115503的博客
05-24 1303
XXE:XML External Entity外部实体,从安全角度理解成XML External attack外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者通过ENTITY伪造外部实体构成,比如PHP中simplexml_load默认情况下会解析外部实体,XXE标志性函数simplexml_load_string()
25、XXE-- XML外部实体注入攻击
WX公众号-小白学安全
04-07 758
文章目录概述XML外部实体PHP特殊函数危害payload防御靶场 概述 XXE ==>XML External EntityXML外部实体) 原理:用户输入的数据被当做XML实体代码进行执行 XXE==>用户输入的数据被当做XML代码进行了执行,然后利用DTD部分可以通过SYSTEM关键词发起网络请求从而获得数据 XML 可扩展标记语言 设计宗旨:传输数据,而非显示数据 xml标签没有被预定义,需要自定义标签 特点 XML仅是存文本,不会执行任何事情 XML可以自己发明标签(允许定
XML外部实体注入攻击XXE
arissa666的博客
10-10 609
(可选)、
XML外部实体攻击XXE)原理与防范
XML外部实体攻击XML External Entity Injection,简称XXE攻击)是一种利用XML解析器漏洞的攻击手段。攻击者通过篡改XML文档,引入恶意的外部实体或者URL,从而导致服务器端的信息泄露或者拒绝服务(DoS)攻击。 #...
XXE(外部实体注入攻击)
sh0rk的博客
11-24 1万+
XXE什么是XXE利用方法进阶学习防御理论上的防御措施实践有效的防御措施 什么是XXE XXEXML External Entity外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。 利用方法 file:///C:/Windows/win.ini &lt;?xml versi...
XML外部实体攻击:原理、风险与防御
然而,XML的特性之一——外部实体,也带来了安全风险,即XML外部实体攻击XXEXML External Entity Attack)。这种攻击利用了XML解析器处理外部实体的方式,可能导致敏感信息泄露、拒绝服务(DoS)甚至是跨站请求...
34-XXEXML外部实体注入
最新发布
XLbb的博客
05-19 1013
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。3、文档结构XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。4、基本的PAYLOAD结构:5、使用DTD实体攻击方式 :DTD 引用方式(简要了解):1. DTD 内部声明DOCTYPE 根元素 [元素声明]>2. DTD 外部引用。
Microsoft Internet Explorer v11 / XML External EntityInjection 0day
weixin_34095889的博客
04-14 124
[+] Credits: John Page (aka hyp3rlinx) [+] Website: hyp3rlinx.altervista.org[+] Source: http://hyp3rlinx.altervista.org/advisories/MICROSOFT-INTERNET-EXPLORER-v11-XML-EXTERNAL-ENTITY-INJECTION-0DAY.t...
XML外部实体注入--XXE漏洞
qq_62793621的博客
05-16 1734
XXE的原理及常见利用方式。
XML外部实体XXE注入详解
渗透测试研究中心
07-12 357
###XMLxxe注入基础知识 1.XMl定义 XML由3个部分构成,它们分别是:文档类型定义(Document Type Definition,DTD),即XML的布局语言;可扩展的样式语言(Extensible Style Language,XSL),即XML的样式表语言;以及可扩展链接语言(Extensible Link Language,XLL)。 XML:可扩展标记语言,标准通用标...
《JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)
午夜安全
04-22 4738
(3)@XmlElement:将Java对象的属性映射为xml的节点,在使用@XmlElement时,可通过name属性改变java对象属性在xml中显示的名称。(2)@XmlAccessorType:用于指定由Java对象生成xml文件时对Java对象属性的访问方式。(4)@XmlAttribute:将Java对象的属性映射为xml的属性,并且可通过name属性为生成的xml属性指定别名。(1)@XmlRootElement:用于类级别的注释,对应XML的根节点。
XML 外部实体注入
2201_75370376的博客
06-22 1056
SQL注入是一种web安全漏洞,使攻击者干扰应用程序对其数据库的查询。它通常使攻击者可以查看他们无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导致应用程序的数据发生不正常更改。在某些情况下,攻击者可以逐步扩大SQL注入攻击,以危害底层服务器或其他后端基础设施。
XXE-XML外部实体注入 漏洞详解
m0_69043895的博客
04-14 1416
XML指可扩展标记语言(Extensible Markup Language)。XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。它在 HTML 之后开发,来弥补 HTML的不足。HTML 用于定义数据的展示,专注于它应该是什么样子。反之,XML 用于定义数据如何被组织。例如,HTML中,你的标签为<title>、<h1>、<tab1e>,<p>以及其它标签。
从原理到实战,详解XXE攻击
华为云官方博客
10-13 603
一站式提供xml外部实体注入攻击的相关基础概念、原理分析、实战演练、安全编码防御以及自动化防御工具。
XXE(xml外部实体攻击)
HoYim
04-11 4483
1、概念 XXEXML External Entity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 (简单来说,XXE就是XML外部实体注入。当应用程序允许引用外部实体时,通过构...
[XML外部实体***]XXE attack
weixin_34209406的博客
11-29 177
Pnig0s p.s:最近80Sec发表了一篇关于介绍XML实体注入漏洞的警告文章,其实查阅相关资料可以发现XML外部实体***相关技术早在02年就在国外被提出,文中明确提到几种编程语言xml应用中均存在***风险,现将原文贴出: -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Gregory Steuck se...
【愚公系列】2023年05月 Web渗透测试之XML攻击
热门推荐
时光隧道
08-25 5万+
XML攻击是一种利用XML文件中的漏洞攻击系统的攻击方法。攻击者可以通过构造恶意的XML文件,使系统解析XML文件时受到攻击,导致系统崩溃、泄漏敏感信息等安全问题。XML攻击的常见类型包括XML注入攻击XXE攻击、XPath注入攻击等。为防范XML攻击,可以采用严格的XML解析方式、限制外部实体引用等安全措施。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值