系列2:15、xml外部实体注入(XXE)漏洞相关

已于 2022-04-18 22:45:56 修改
阅读量119 收藏
点赞数
分类专栏: 渗透测试 文章标签: 安全 渗透测试 web安全
于 2022-04-18 22:43:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44704184/article/details/124257660
版权

XXE

如果Web应用的脚本代码没有限制XML引入外部实体,从而导致用户可以插入一个外部实体,并且其中的内容会被服务器端执行,插入的代码可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。

实践

1、内部实体

在这里插入图片描述
在这里插入图片描述

2、外部实体

在这里插入图片描述
在这里插入图片描述

3、探测端口

在这里插入图片描述
(1)执行上边代码,发现页面没有任何返回结果。
(2)将上边代码中的端口换一个不用的端口,可以发现返回结果为下图,所以比较可得,如果端口开放则没有返回 ,如果不开放则报错。
在这里插入图片描述

4、任意读取文件

在这里插入图片描述
(1)查看可知输入的内容构建成了xml格式
在这里插入图片描述
(2)抓包构建外部实体代码
在这里插入图片描述
(3)返回文件结果

凌晨四点的代码
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java xml 实体注入_XML外部实体注入漏洞(XXE)
weixin_35917998的博客
02-16 1132
转自腾讯安全应急响应中心一、XML基础知识XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。内部声明DTD根元素 [元素声明]>引...
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁...
「 典型安全漏洞系列 」05.XML外部实体注入XXE详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-22 1086
标记:指计算机能理解的信息符号(标签),通过这些标签,计算机之间可以处理包含各种信息的HTML、文章等;可扩展性:使用者可以根据需要自行定义标签。下面是一个包含XML声明、文档类型定义(Document Type Definition,DTD)的XML文件样例。
XML外部实体注入——XXE漏洞详解
Gefangenes的博客
07-02 1946
首先要了解什么是XXE漏洞,首先应该了解一下什么是XMLXML(可扩展标记语言,英文全称:eXtensible Markup Language)是一种用于描述数据结构和交换数据的标记语言。XML是一种非常灵活的语言,可以用于描述各种类型的数据,如文档、图像、音频、视频等。这个解释太官方,我们可以将xml语言和html对比着再来解释一下1>xml仅仅是纯文本,他不会做任何事情2>xml可以自己发明标签(允许定义自己的标签和文档结构)3>专门用来存放传输数据的东西。
XXEXML外部实体注入漏洞
F2444790591的博客
07-10 2033
XML外部实体注入XML Extenrnal Entity Injection),简称XXE漏洞XML解析依赖库libxml默认开启了对外部实体的引用(libxml
XXEXML外部实体注入攻击
qq_68163788的博客
02-20 1008
XXEXML External Entity)注入攻击是一种利用XML解析器漏洞的攻击方式。攻击者通过在XML文档中插入恶意的外部实体引用,可以读取本地文件、执行远程请求等操作,从而获取敏感信息或者实施其他攻击。 XXE攻击通常发生在使用XML解析器解析用户输入数据的应用程序中,例如Web应用程序、SOAP服务等。攻击者可以构造包含恶意外部实体引用的XML文档,并将其提交给目标系统进行解析,从而实现攻击目的。
XMLXXE漏洞 XML外部实体注入攻击
qq_60115503的博客
05-24 1218
XXE:XML External Entity即外部实体,从安全角度理解成XML External attack外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者通过ENTITY伪造外部实体构成,比如PHP中simplexml_load默认情况下会解析外部实体,XXE标志性函数simplexml_load_string()
XXE-XML实体注入漏洞
2301_80661529的博客
03-07 1115
DTD(document type definition)文档类型定义用于定义XML文档的结构,它作为xml文件的 一部分位于XML声明和文档元素之间,比如下面DTD它就定义了 XML 的根元素必须是message,根元素下面有一些子元素,所以 XML必须像下 面这么写:其中,DTD需要在!DOCTYPE注释中定义根元素,而后在中括号的[]内使用!ELEMENT注 释定义各元素特征。
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
m0_63138919的博客
03-14 1435
本文章参考qax的网络安全java代码审计和部分师傅审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
XML 外部实体 (XXE) 漏洞及其修复方法
allway2的博客
07-27 5747
PHP拥有可能是最流行的后端Web应用程序语言的称号,因此,它是攻击者的主要目标,包括XXE攻击。由于攻击者经常发现新的漏洞,因此必须保持您的PHP版本是最新的以保护您的应用程序。它们不能用于获取二进制文件,或包含类似于XML但实际上不是有效XML的代码的文件。XXEXML外部实体注入)是一种常见的基于Web安全漏洞,它使攻击者能够干扰Web应用程序中XML数据的处理。虽然是一个常见的漏洞,但通过良好的编码实践和一些特定于语言的建议,可以轻松实现防止XXE攻击。...
基于XXE漏洞的网络安全分析与利用工具开发
05-07
当应用是通过用户上传的XML文件或POST请求进行数唱的传输,并日应用没有禁止XNML引用外部实体,也没有过滤用户提交的XML数据,那么就会产生XML外部实体注入漏洞,即XXE漏洞XXE漏洞发生在应用程序解析XML输入时,...
CVE-2018-11788:Apache Karaf XXE漏洞CVE-2018-11788
03-18
在最近对Apache Karaf的研究中,我发现其XML解析器中存在一些XXEXML外部实体注入漏洞。 导致解析器不正确地解析XML文档。受影响的版本Apache Karaf <= 4.2.1 Apache Karaf <= 4.1.6分析根据,Apache ...
WSSAT:Web服务安全评估工具
03-05
WSSAT-Web服务安全评估工具 WSSAT是一个开放源代码Web服务安全扫描工具,它提供了一个动态环境,只需编辑其配置文件即可添加,更新或删除...外部实体攻击-XXE XPATH注入 HTTP OPTIONS方法 跨站点跟踪(XST) 缺少X-X
web渗透系列教学下载共64份.zip
12-30
web渗透--24--XXE外部实体注入.pdf web渗透--25--服务器端包含注入(SSI注入).pdf web渗透--26--XPath注入.pdf web渗透--27--命令注入.pdf web渗透--28--HTTP响应头拆分漏洞.pdf web渗透--29--LDAP注入.pdf web渗透...
登录安全分析报告:小米官网注册
Explinks的博客
05-29 953
图形验证及交互验证方式的安全性到底如何?请看具体分析。
导线防碰撞警示灯:高压线路安全保障
最新发布
dxzhkj888888的博客
05-30 290
同时,警示灯的反光材料也起到了至关重要的作用,无论是白天还是夜晚,都能将光线反射到最远的距离,让警示效果倍增。导线防碰撞警示灯也叫高压线太阳能警示灯、户外高压线路夜间红色闪光灯,以其独特的设计和卓越的性能,成为了电力安全领域的保障。在广袤的大地上,高压线路如同血脉般纵横交错,然而,在这看似平静的电力输送背后,却隐藏着不容忽视的安全隐患。而到了夜晚,警示灯便开始了它的使命。导线防碰撞警示灯的出现,使得那些驾驶超高车辆、操作超高施工机械的司机们,也在警示灯的提醒下,更加谨慎地行驶和操作,避免了可能发生的危险。
网络学习(九)|深入解析Cookie与Session:高级应用及安全实践
weixin_44435110的博客
05-28 689
通过本以上,后端开发人员可以深入了解Cookie和Session的高级应用、常见问题及其解决方案,有助于设计和实现高效、安全的会话管理系统。
内网安全-隧道搭建&穿透上线&内网穿透-nps自定义上线&内网渗透-Linux上线-cs上线Linux主机
rumil的博客
05-28 1527
nps内网穿透工具是一款轻量级、高性能、功能强大的内网代理服务器。支持tcp、udp、socks5、http等几乎所有流量转发,可用于访问内网网站、支付本地接口调试、ssh访问、远程桌面,内网dns解析、内网socks5代理等等……,并带有功能强大的web管理端。一个轻量级、高性能、强大的内网穿透代理服务器,带有强大的web管理端。 内网渗透-CS上线Linux主机-Linux上线
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值