XXE-lab(全踩坑)实录

最新推荐文章于 2023-09-20 10:47:46 发布
最新推荐文章于 2023-09-20 10:47:46 发布
阅读量4.8k 收藏 23
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39670065/article/details/108347687
版权

在bWAPP中有一关是XML External Entity Attacks (XXE)传送门,比较简单的了解了一下XXE

师傅的博客
浅谈XML实体注入漏洞

XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害
xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件

所以可以先来学习一下XML的相关知识XML 简介

简单了解如下

XML 被设计为传输和存储数据,其焦点是数据的内容HTML 被设计用来显示数据,其焦点是数据的外观
HTML 旨在显示信息,而 XML 旨在传输信息

XML 用于传输数据,而 HTML 用于格式化并显示数据
XML 把数据从 HTML 分离, XML 不是对 HTML 的替代,XML 是独立于软件和硬件的信息传输工具

基本语法

所有 XML 元素都须有关闭标签
XML 标签对大小写敏感
XML 文档必须有根元素
XML 的属性值须加引号

这里着重学习一下实体引用

在 XML 中,一些字符拥有特殊的意义,如果把这些字符放在XML元素中就会产生错误,所以必须用实体引用来代替

在这里插入图片描述
下一个重点是XML验证中的DTD
DTD 简介

DTD 的作用是定义 XML 文档的结构。它使用一系列合法的元素来定义文档结构:

<!DOCTYPE note [
  <!ELEMENT note (to,from,heading,body)>
  <!ELEMENT to      (#PCDATA)>
  <!ELEMENT from    (#PCDATA)>
  <!ELEMENT heading (#PCDATA)>
  <!ELEMENT body    (#PCDATA)>
]>

文档类型定义(DTD)可定义合法的XML文档构建模块。它使用一系列合法的元素来定义文档的结构。
DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。
详见内部的 DOCTYPE 声明与外部文档声明

DTD元素

在这里插入图片描述
DTD属性

这里重点学习一下DTD实体

实体是用于定义引用普通文本或特殊字符的快捷方式的变量
实体引用是对实体的引用
实体可在内部或外部进行声明

内部实体声明语法<!ENTITY 实体名称 "实体的值">

外部实体声明语法<!ENTITY 实体名称 SYSTEM "URI/URL">

附上实例:

内部实体声明
DTD 实例:

<!ENTITY writer "Donald Duck."> <!ENTITY copyright "Copyright runoob.com">

XML 实例:<author>&writer;&copyright;</author>

外部实体声明
DTD 实例:

<!ENTITY writer SYSTEM "http://www.runoob.com/entities.dtd"> <!ENTITY copyright SYSTEM "http://www.runoob.com/entities.dtd">

XML 实例:<author>&writer;&copyright;</author>

注: 一个实体由三部分构成: 一个和号 (&), 一个实体名称, 以及一个分号(;)

XXE主要是利用了DTD引用外部实体导致的漏洞

XXE-Lab for PHP

在这里插入图片描述
在这里插入图片描述

输入任意账号密码进行抓包

在这里插入图片描述
观察请求包
发现头部:Accept: application/xml, text/xml, */*; q=0.01

在这里插入图片描述

构造XML声明和DTD部分,引用外部实体来进行实体调用

<?xml version="1.0"?>
<!DOCTYPE Mikasa [
<!ENTITY test SYSTEM  "file:///c:/windows/win.ini">
]>
<user><username>&test;</username><password>Mikasa</password></user>

并且在元素中引用外部实体参数&test

查看回显

在这里插入图片描述

一般XXE利用分为两大场景:有回显和无回显。有回显的情况可以直接在页面中看到Payload的执行结果或现象,无回显的情况又称为blind xxe可以使用外带数据通道提取数据
xxe-lab是有回显的

看大佬的源码审计

<?php
/**
* autor: c0ny1
* date: 2018-2-7
*/

$USERNAME = 'admin'; //账号
$PASSWORD = 'admin'; //密码
$result = null;

libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');//这里面因为没有xml文档所以用的是php的伪协议来获取我们发送的xml文档

try{
    $dom = new DOMDocument();//创建XML的对象
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);//将我们发送的字符串生成xml文档。
    $creds = simplexml_import_dom($dom);//这一步感觉相当于实例化xml文档

    $username = $creds->username;//获取username标签的值
    $password = $creds->password;//获取password标签的值

    if($username == $USERNAME && $password == $PASSWORD){//将获取的值与前面的进行比较。...
        $result = sprintf("<result><code>%d</code><msg>%s</msg></result>",1,$username);//注意必须要有username这个标签,不然的话找不到username,就没有了输出了,我们也不能通过回显来获取信息了
    }else{
        $result = sprintf("<result><code>%d</code><msg>%s</msg></result>",0,$username);//与上方相同,都会输出username的值,都可以达到我们的目的
    }    
}catch(Exception $e){
    $result = sprintf("<result><code>%d</code><msg>%s</msg></result>",3,$e->getMessage());
}

header('Content-Type: text/html; charset=utf-8');
echo $result;
?>

还可以进行其他的恶意引入外部实体方式

详见XXE漏洞攻防

XXE-Lab for Java

package me.gv7.xxe;

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.w3c.dom.Document;
import org.w3c.dom.NodeList;
import org.xml.sax.SAXException;

import javax.xml.parsers.*;

@WebServlet("/doLoginServlet")
public class LoginServlet extends HttpServlet {
	private static final long serialVersionUID = 1L;
	
	private static final String USERNAME = "admin";//账号
	private static final String PASSWORD = "admin";//密码
	
	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {		
		DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();     
        DocumentBuilder db;
        String result="";
		try {
			db = dbf.newDocumentBuilder();
			/*修复代码*/ 
			//dbf.setExpandEntityReferences(false);
			Document doc = db.parse(request.getInputStream());
			String username = getValueByTagName(doc,"username");
			String password = getValueByTagName(doc,"password");
			if(username.equals(USERNAME) && password.equals(PASSWORD)){
				result = String.format("<result><code>%d</code><msg>%s</msg></result>",1,username);
			}else{
				result = String.format("<result><code>%d</code><msg>%s</msg></result>",0,username);
			}
		} catch (ParserConfigurationException e) {
			e.printStackTrace();
			result = String.format("<result><code>%d</code><msg>%s</msg></result>",3,e.getMessage());
		} catch (SAXException e) {
			e.printStackTrace();
			result = String.format("<result><code>%d</code><msg>%s</msg></result>",3,e.getMessage());
		}
		response.setContentType("text/xml;charset=UTF-8");
		response.getWriter().append(result);
	}

	protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		doGet(request, response);
	}

	/**
	 * 
	 * @param doc 文档
	 * @param tagName 标签名
 	 * @return 标签值
	 */
	public static String getValueByTagName(Document doc, String tagName){  
        if(doc == null || tagName.equals(null)){  
            return "";  
        }  
        NodeList pl = doc.getElementsByTagName(tagName);  
        if(pl != null && pl.getLength() > 0){  
            return pl.item(0).getTextContent();  
        } 
        return "";
    }
}

水平有限不会操作。。

Java XXE漏洞正确修复方法及原理

XXE-Lab for Python

#coding=utf-8

'''
autor: c0ny1
date: 2018-2-7
'''

from flask import Flask, request, url_for, render_template, redirect
from xml.dom import minidom

app = Flask(__name__)
app.config['DEBUG'] = True

USERNAME = 'admin' # 账号
PASSWORD = 'admin' # 密码

@app.route("/")
def home():
    return render_template("index.html")

@app.route("/doLogin", methods=['POST', 'GET'])
def doLogin():
    result = None
    try:
        DOMTree = minidom.parseString(request.data)
        username = DOMTree.getElementsByTagName("username")
        username = username[0].childNodes[0].nodeValue
        password = DOMTree.getElementsByTagName("password")
        password = password[0].childNodes[0].nodeValue
    
        if username == USERNAME and password == PASSWORD:
            result = "<result><code>%d</code><msg>%s</msg></result>" % (1,username)
        else:
            result = "<result><code>%d</code><msg>%s</msg></result>" % (0,username)
    except Exception,e:
        result = "<result><code>%d</code><msg>%s</msg></result>" % (3,e.message)
	
    return result,{'Content-Type': 'text/xml;charset=UTF-8'}

def prn_obj(obj):
    print '\n'.join(['%s:%s' % item for item in obj.__dict__.items()])

if __name__ == "__main__":
    app.run()

大佬说是要下载Python Flask 框架,然后运行即可

附上安装教程

在这里插入图片描述
总是遇到奇怪的问题。。

按照提示先解决看看

在这里插入图片描述
呃。彻底裂开。。

再来尝试一下这种方法Windows下安装使用python的Flask框架

在这里插入图片描述一开始还是有点小问题,不过将pip版本升级后就解决了

具体操作按上面的来就行,这里是终于成功了

但是运行过程中还是出错

在这里插入图片描述

我***

在这里插入图片描述

Csharp

大佬说是放vs里,但我不会搞。。

在这里插入图片描述上面的工具栏有一个运行按键,等待运行之后会出来这样一个工具

在这里插入图片描述在这里插入图片描述
网上找的的解决办法是

在这里插入图片描述使用菜单栏工具下的NuGet包管理器,在程序包管理控制台中输入 Install-Package Microsoft.CodeDom.Providers.DotNetCompilerPlatform

静静等待。

。。。

还是没有解决,放弃了

在这里插入图片描述

wu_ceng
关注
  • 4
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
XXE漏洞原理、xxe-lab演示和防御
m0_61506558的博客
08-24 656
eXtensibleMarkupLanguage可扩展标记语言常用于从客户端向服务器提交数据。然后, 服务器端应用程序将处理这些数据,并且可能会返回一个包含XML或任何其他格式数据的响应。和HTML有一定的相像之处(部分语法不同),它还可以做配置文件、交换数据和图像格式等等。
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
内含xxe漏洞原理,以及该漏洞的多种利用方式,同时根据八个具体案例详细描述漏洞的利用方式。 【想要搭建vulnhub内靶场可关注博主,然后私聊我哦】 同时内含vulnhub中xxe lab:1靶场的过关记录 渗透思路: 由于网站信息什么都没有给出,首先判断靶场搭建的ip【实在判断不出来可以nmap扫一下,找到开放80端口的ip】 得到ip后,可以使用burpsuite进行目录爬取,得到sitemap后就可以对相应可疑站点进行测试,由于该靶场为xxe漏洞靶场,找到对应的登录页面抓包进行构造payload进行测试,其中具体构造payload并找到对应flag见pdf所示。 资源使用人群:前后端有一定了解,具备一些安方面知识,但不多,保姆级教程,只要你想学就能学会。 工具:忍者渗透测试系统【burpsuite,nmap,base32解密,php在线运行环境,base64解密,cmd5在线平台】
XXEXXE-Lab
情感博主V
02-24 1571
简介 1. XXE Injection(XML External Entity Injection)XML外部实体注入 服务端接收和解析了来自用户端的XML数据,而又没有做严格的安控制,从而导致XML外部实体注入。 2. XML(Extensible Markup Language)可扩展标记语言 XML用来传输和存储数据; XML的标签没有预定义,需要自行定义标签; XML文档结构包括:XML...
边打XXE-lab边学习(一)
negnegil的博客
06-19 4056
一、简介及靶场搭建 简介 XXE(XML External Entity Injection)即XML外部实体注入。漏洞是在对非安的外部实体数据进行处理时引发的安问题。 XXE原理 XXE即XML外部实体注入 。我们先分别理解一下注入和外部实体的含义。 注入:是指XML数据在传输过程中被修改,导致服务器执行了修改后的恶意代码,从而达到攻击目的。 外部实体:则是指攻击者通过利用外部实体声明部分来对XML数据进行修改、插入恶意代码。 所以XXE就是指XML数据在传输过程中利用外部实体声明部分的“SYSTEM
XXE-Lab for PHP
m0_66299232的博客
09-10 500
2.将PHPStudy的中间件与版本信息调制为。1.在登录界面输入账号密码并抓取数据包....3.使用PHP伪协议读取文件....4.探测内网存活主机与端口...2.尝试读取本地文件....1.将靶场进行下载....访问以下地址开始练习...
DTD学习一(入门)
Joy的专栏
04-04 565
一 简介 文档类型定义(DTD)可定义合法的XML文档构建模块。它使用一系列合法的元素来定义文档的结构。 DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。 二、实例 1、如果一个DTD被包含在XML源文件中,如使用如下test.xml: 文档定义语法: 元素定义语法: 2、如果是一个XML文件引用一个外部的DTD文件,如下实例: te
xxe-lab靶场安装和简单php代码审计
永远是少年
12-23 2602
今天继续给大家介绍渗透测试相关知识,本文主要内容是xxe-lab靶场安装和简单php代码审计。 一、xxe-lab靶场简介 二、php xxe-lab靶场安装 三、xxe-lab靶场PHP代码审计
XXE漏洞原理及常见利用方式(以xxe-lab为示例)
weixin_43610673的博客
03-11 1931
这是一个有回显的XXE,这里读的文件是比较理想的,没有会被xml解析的字符,如果像下图中文件的内容一样就会引起xml解析报错(如Linux的/etc/fstab文件其中包含一些看起来像 XML 的字符),XML 解析器会尝试解析这些元素,但其不是一个有效的 XML 文档。而XXE是将XML元素注入变成外部实体注入,上面的基础知识部分已经提到了在DTD中声明外部实体,在xml中实体的作用相当于是一个已经定义的变量,可以在标签内使用,通过 & 符号进行引用。,是不会被解析器解析的文本。...
xss-lab通关之路
黑白的博客
10-12 3581
xss-lab通关之路
XXE漏洞复现(基于xxe-lab靶场)
weixin_73180072的博客
09-20 279
phpstudywindow10靶场源文件下载完毕后解压放置在phpstudy/www/目录下即可,访问(我这里解压后改了下文件夹名为xxe-lab,所以访问地址变了)
XXE - 防御策略-01
09-15
XXE - 防御策略-01
XXE - How to become a Jedi
02-20
XXE漏洞从入门到精通
XML schema 编辑工具 xxe-perso-4_9_1
11-19
XML schema 编辑工具 xxe-perso-4_9_1
xxe-workshop:2019年巴黎Hack研讨会
04-15
XXE高级研讨会 该存储库包含在2019年巴黎Hack会议上介绍的所有测试应用程序。 阅读教程 教程: : 自己运行应用程序 所有应用程序代码和docker脚本都包含... git clone https://github.com/GoSecure/xxe-workshop.git
2021数学建模美赛C题代码.zip
04-24
的数学建模美赛C题和代码、大量刷题题库、逻辑清晰易于学习
这是一个保存Springboot+MyBaits项目的仓库.zip
最新发布
04-24
springboot框架 一、Spring Boot基础应用 Spring Boot特征 概念: 约定优于配置,简单来说就是你所期待的配置与约定的配置一致,那么就可以不做任何配置,约定不符合期待时才需要对约定进行替换配置。 特征: 1. SpringBoot Starter:他将常用的依赖分组进行了整合,将其合并到一个依赖中,这样就可以一次性添加到项目的Maven或Gradle构建中。 2,使编码变得简单,SpringBoot采用 JavaConfig的方式对Spring进行配置,并且提供了大量的注解,极大的提高了工作效率,比如@Configuration和@bean注解结合,基于@Configuration完成类扫描,基于@bean注解把返回值注入IOC容器。 3.自动配置:SpringBoot的自动配置特性利用了Spring对条件化配置的支持,合理地推测应用所需的bean并自动化配置他们。 4.使部署变得简单,SpringBoot内置了三种Servlet容器,Tomcat,Jetty,undertow.我们只需要一个Java的运行环境就可以跑SpringBoot的项目了
课设&大作业-毕业设计精品课程网站,采用的技术是 SSM 框架和 Shiro.zip
04-24
【资源说明】【毕业设计】 1、该资源内项目代码都是经过测试运行成功,功能正常的情况下才上传的,请放心下载使用。 2、适用人群:主要针对计算机相关专业(如计科、信息安、数据科学与大数据技术、人工智能、通信、物联网、数学、电子信息等)的同学或企业员工下载使用,具有较高的学习借鉴价值。 3、不仅适合小白学习实战练习,也可作为大作业、课程设计、毕设项目、初期项目立项演示等,欢迎下载,互相学习,共同进步!
c#做的综合上位机,服务于freescale智能车&电子设计.zip
04-24
c#做的综合上位机,服务于freescale智能车&电子设计.zip
tensorflow-gpu-2.7.2-cp39-cp39-manylinux2010-x86-64.whl
04-24
bert
泛微oa e-cology xxe 漏洞
08-17
泛微OA是一种常见的企业办公自动化系统,而XXE(XML外部实体注入)漏洞是指攻击者通过注入恶意的外部实体来读取或利用系统中的敏感数据。 泛微OA的XXE漏洞是由于系统对外部XML实体的处理不当所导致的。攻击者可以通过构造恶意的XML实体并将其发送给系统,然后利用系统对外部实体的解析不当来读取系统中的文件,包括敏感的配置文件、数据库信息。攻击者还可以通过XXE漏洞发起钓鱼攻击或者是向系统发送恶意的请求来进一步导致系统的安漏洞。 为了防范泛微OA的XXE漏洞,建议以下几点: 1. 进行安审计:对泛微OA系统进行定期的安审计,通过检测系统中的漏洞和弱点,及时修复存在的XXE漏洞。 2. 模板限制:在处理外部XML实体时,应限制或阻止对外部实体的解析,避免可能的XXE攻击。可以通过设置合适的解析选项,限制对外部实体的访问权限。 3. 输入验证与过滤:对于用户输入的数据,应进行合理的验证和过滤,确保输入的内容符合预期格式,避免恶意的外部实体注入。 4. 更新补丁:定期保持泛微OA系统的更新与升级,及时安装官方发布的补丁和修复漏洞的版本。 5. 安意识培训:加强企业员工的安意识培训,提高他们对XXE漏洞及其他安威胁的认识,避免因无意中点击恶意链接或下载恶意附件而导致漏洞的利用。 通过以上措施,可以有效地减少泛微OA中的XXE漏洞,提升系统的安性。及早识别并修复漏洞,有助于保护企业的机密信息以及防止潜在的安威胁发生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值