XXE漏洞学习及利用

最新推荐文章于 2023-12-14 17:22:55 发布
最新推荐文章于 2023-12-14 17:22:55 发布
阅读量457 收藏
点赞数
分类专栏: 渗透安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38352420/article/details/107052828
版权

XXE漏洞基础学习

当WEB服务使用XML或者JSON中的一种进行传输时,服务器可能会接收开发人员并未预料到的数据格式。如果服务器上的XML解析器的配置不完善,在JSON传输的终端可能会遭受XXE攻击,也就是俗称的XML外部实体攻击。

XXE是一种针对XML终端实施的攻击,黑客想要实施这种攻击,需要在XML的payload包含外部实体声明,且服务器本身允许实体扩展。这样的话,黑客或许能读取WEB服务器的文件系统,通过UNC路径访问远程文件系统,或者通过HTTP/HTTPS连接到任意主机。

所以学习XXE漏洞之前有必要先学习一波xml的文档格式,

XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。

XML文件结构和基本语法 - CSDN博客:
http://blog.csdn.net/jfkidear/article/details/6820642
未知攻焉知防——XXE漏洞攻防 - 腾讯安全应急响应中心:
https://security.tencent.com/index.php/blog/msg/69

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QuRbNFzX-1593529726901)(XXE漏洞学习及实际应用/在违法的边缘试探.jpg)]
在了解以上的知识之后就可以着手开始搞事情了,初级应用大概是用burp抓包,然后post一段xml格式的数据,
获取POST数据,是利用getParsedBody方法,而这个方法对POST的处理,是按照content-type来区分和解析的
有时候框架会帮开发者一些他可能并不需要的『忙』,

比如slimphp这里,常规的POST的content-type为application/x-www-form-urlencoded,但只要我将其修改为application/json,我就可以传入json格式的POST数据,修改为application/xml,我就可以传入XML格式的数据。
这个特性将会导致两个问题:

  • WAF绕过
  • 可能存在的XXE漏洞

WAF绕过这个肯定不用说了,常规的WAF一般只检测application/x-www-form-urlencoded的数据,一旦修改数据类型则将通杀各大WAF。
本菜鸟先研究一下XXE漏洞

将数据post过去时一定要记住将post去的数据改为xml格式

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE netspi [<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<root>
<search>admin</search>
<value>&xxe;</value>
</root>

XXE漏洞实例

api调用
题目链接: http://web.jarvisoj.com:9882/
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-I8sQWvnM-1593529726905)(XXE漏洞学习及实际应用/题目简介.jpg)]
点击进入后题目大概长这样= =
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oyfSZ3RJ-1593529726908)(XXE漏洞学习及实际应用/题目简介1.jpg)]
在窗口输入数据会根据输入数据有不同的回显。
回显为输入数据+own(技术不行,回头考完试有时间把这个源代码爬下来orz)

用burpsuite抓包
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rrh6T1n7-1593529726910)(XXE漏洞学习及实际应用/图片1.jpg)]

按上面的方法常规post一段xml格式数据过去,得到一串文件目录信息
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-g7ggbXaG-1593529726913)(XXE漏洞学习及实际应用/图片2.jpg)]

按照题目信息提示,post的xml系统文件应改为/home/ctf/flag.txt
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Z70RGmxB-1593529726915)(XXE漏洞学习及实际应用/图片3.jpg)]

可以得到最后的flag为CTF{XxE_15_n0T_S7range_Enough}

沈冉冉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
细节揭示:XXE漏洞复现步骤及安全防护建议
weixin_43263566的博客
08-31 309
XXE漏洞发生在那些使用XML解析器处理用户提供的XML输入的应用程序中。攻击者通过在用户输入的XML文档中插入恶意的实体引用,来触发XML解析器加载外部实体。这些外部实体可能指向本地文件系统或通过网络访问的远程资源。
XXE漏洞
qi_SJQ_的博客
01-21 567
概念 全称XML External Entity Injection, 即xml外部实体注入漏洞,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口 扫描、攻击内网网站等危害。 了解一些xml,我们知道xml是一种数据存储类型,用于传输,而html用于显示。 XML被设计为数据和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可 选)、文档元素,其焦点是数据传输工具。 自己当初的学习笔记 XML与HTML的主要差异: XML被设计为传输和存储数据,其焦点是数据的内容。 HTML被设.
xxe编码绕过(8-19)
Realiy的博客
08-19 1691
[CSAWQual 2019]Web_Unagi 只能上传xml文件,考虑存在xxe 直接上传显示waf拦截了,转换成utf16编码就能绕过 <!--filename:1.xml--> <!--author:ta3shi--> <!DOCTYPE users[ <!ENTITY a SYSTEM "file:///flag"> ]> <users> <user> <username>Alice</u
Web安全 XXE漏洞的 测试和利用.(读取服务器的任何文件 和 收集服务器的内网信息.)
网络安全领域___专研者.
03-08 6555
XXE漏洞全称(XML External Entity Injection),即XML外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成:文件读取、命令执行、内网端口扫描、攻击内网网站,DOS攻击 等危害.(xxe漏洞触发的点往往是可以上传xml文件的位置的,没有对上传的xml文件进行过滤,导致可上传恶意xml文件.)
xxe漏洞
JunDao73的博客
03-17 737
XXE(XML External Entity Injection) XML外部实体注入。XXE就是在可以解析XML(XML是一种类似于HTML的可扩展标记语言,是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言)的地方,在这种地方提交XML的恶意代码来执行。它一般可以做到,内网文件读取,端口扫描,内网程序攻击,任意命令执行等。 php版本大于5.4.45的默认不解析外部实体。这也就是为什么说xxe漏洞越来越少了的原因。 如何防御x
网络安全课第五节 XXE 漏洞的检测与防御
fegus的博客
07-11 1545
上一讲我们介绍了 SSRF 漏洞,一种专门针对服务端的请求伪造攻击,常被用于攻击内网。在里面我介绍了 Burp Collaborator 用于专门测试无回显漏洞的功能,在本讲的 XXE 漏洞测试中,我们依然可以使用,不知道你是否还记得怎么使用?下面,我们就开始今天的课程,一场关于 XML 外部实体注入(XXE漏洞的攻防之路。XXE(XML External Entity,XML 外部实体注入)正是当允许引用外部实体时,通过构造恶意内容,导致读取任意文件、执行系统命令、内网探测与攻击等危害的一类漏洞。PHP
XXE漏洞的详解与利用
weixin_56606020的博客
03-15 4350
XXE漏洞详解 漏洞介绍: 如果XML 文件在引用外部实体时候,可以沟通构造恶意内容,可以导致读取任意文件,命令执行和对内网的攻击,这就是XXE漏洞。另外php版本大于5.4.45的默认不解析外部实体 XML: 设计用来进行数据的传输和存储, 结构是树形结构,有标签构成,这点很想HTML语言。但是XML和HTML有明显区别如下: 1.被设计用来传输和存储数据。 2.被设计用来显示数据。 XML结构: <?xml version="1.0" encoding="UTF-8"?&.
xxe漏洞学习
L1ni01
11-06 188
xxe漏洞学习 一.XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD元素 DTD属性 以下是 属性类型的选项: 我们XXE 利用的是 它的实体属性 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。 内部声明DTD <!DOCTYPE 根元素 [元素声明]&gt
XXE漏洞学习
qiaopeifan的博客
11-09 200
XXE(外部实体注入攻击)** 一,XXE是什么 简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 *例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。 二,XML的基础知识 要了解xxe首先要了解xml 定义 XML是用于 标记电子文件 使其具有 结构性 的标记语言,可以用来标记数据、定义数据类型,是一种
第四节 XXE漏洞利用 - 任意文件读取-01
09-15
通过学习本节内容,您将掌握XXE漏洞的基本原理和利用方法,从而更好地保护自己的Web应用程序。 1. 测试代码介绍 在开始学习XXE漏洞利用之前,我们需要了解基本的测试代码。下面是一个简单的PHP测试代码: ```php ...
(渗透学习XXE漏洞原理 & 挖掘 & 利用 & 防御
yang1234567898的博客
01-15 5829
1、什么是XML? xml和html结构类似,不同的是: XML 被设计用来传输和存储数据。 HTML 被设计用来显示数据。 XML 文档结构包括 XML 声明、DTD 文档类型定义(可选)、文档元素 (1)什么是DTD? 文档类型定义(DTD)可定义合法的XML文档构建模块,它使用一系列合法的元素来定义文档的结构。 DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。 ① 内部的 DOCTYPE 声明: <!DOCTYPE 根元素 [元素声明]> 如下就
XXE漏洞学习之CTF
qq_46085232的博客
04-09 617
两道有关XXE的CTF题目盲猜过程总结Vulnhub练习题过程总结 盲猜 题目地址:http://web.jarvisoj.com:9882/ 过程 访问题目地址 提交数据,进行抓包 看到数据提交这里,以为是基于json格式的sql注入,结果不是的,看页面源代码也看不出啥的,只怪自己的太菜。后来,才知道这里靠xxe漏洞,盲猜服务端能接受xml格式数据,修改Content-tpye值,并提交xml格式的playload。 修改数据包,进行提交,获取flag(这里我通过读取etc/passwd知道有hom
刚开始学XXE漏洞,可以看看这个博客.md
05-05
刚开始学XXE漏洞的时候,很懵,看见了这个博客,就转载一下,希望对刚接触这个东西的同学有帮助,刚学的时候浪费了很多时间,希望别人可以少浪费这个找资源的时间
XXE漏洞漏洞利用方法解析
weixin_43749601的博客
03-02 2444
XXE(XML External Entity Injection)即XML外部实体类注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。XXE漏洞触发的点往往是可以上传XML文件的位置,没有对上传的XML文件进行过滤,导致可上传恶意XML文件。 0x001 XML XML设计用来传送及携带数据信息,不用来表现或展示数据,HTML则用来表现数据,所以XML用途的焦点是它说明数据是什么,以
什么是XXE漏洞
Ping_Pig的博客
08-12 3043
漏洞解释 XML外部实体注入(XML External Entity)简称XXE漏洞,XML用于标记电子文件使其具体结构性的标记语言,可以用来标记数据,定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言,XML文档结构包括XML声明,DTD文档类型定义,文档元素. 常见的XML语法结构如下所示 <?xml version="1.0"?>XML声明 <!DOCTY...
XXE漏洞基础及简单利用
m0re's blog
08-02 2285
本文目录前言XXE基础xxe概念XML基础知识实体引用:DTDXXE文件读取xxe-labXXE利用 前言 学习XXE,其实前段时间写过一篇关于XXE的,但是由于不可描述的原因,我那篇博客原稿没有了。再总结一次,这次做好了备份。 XXE基础 xxe概念 XXE漏洞全称XML External Entity Injection,也就是xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻
XXE漏洞原理利用、攻击防御手段有哪些
最新发布
白帽黑客鹏哥的博客
12-14 1423
XXE,全称是XML外部实体注入(XML External Entity Injection),是一种针对应用程序处理XML数据的安全漏洞。这种漏洞允许攻击者对正在解析XML数据的应用程序进行攻击,可能导致未授权的数据访问、服务拒绝攻击,甚至在某些情况下执行远程代码。
XXE漏洞检测及代码执行过程
weixin_30505751的博客
04-08 564
   这两天看了xxe漏洞,写一下自己的理解,xxe漏洞主要针对webservice危险的引用的外部实体并且未对外部实体进行敏感字符的过滤,从而可以造成命令执行,目录遍历等.首先存在漏洞的web服务一定是存在xml传输数据的,可以在http头的content-type中查看,也可以根据url一些常见的关键字进行判断测试,例如wsdl(web服务描述语言).或者一些常见的采用xml的java服务配置...
WEB 漏洞-XXE&XML 之利用检测绕过
硫酸超的博客
08-29 788
WEB 漏洞-XXE&XML 之利用检测绕过XXE&XMLDTD内部的 DOCTYPE 声明外部DOCTYPE声明内部实体声明外部实体声明为什么使用 DTDpikachu 靶场 xml 数据传输测试-回显,玩法,协议,引入回显玩法-读文件玩法-内网探针或攻击内网应用(触发漏洞地址)引入外部实体 dtd不回显读取文件xxe-lab 靶场登陆框 xml 数据传输测试-检测发现CTF-Vulnhub-XXE 安全真题复现-检测,利用,拓展,实战CTF-Jarvis-OJ-Web-XXE 安全真题复
XXE漏洞深度解析与实战演练
本文档详细介绍了XXE(XML External Entity)漏洞的概念、危害、检测方法、利用...通过学习,你可以了解如何识别和利用XXE漏洞,以及如何防止这类漏洞的发生。同时,参与VulnHub的靶场练习将帮助你进一步巩固所学知识。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值