20210425web渗透学习之XML攻击复习回顾梳理(不定期更新)

已于 2022-04-24 17:24:35 修改
阅读量502 收藏
点赞数
分类专栏: WEB渗透学习 文章标签: web 安全
于 2021-04-25 22:32:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45290991/article/details/116137364
版权
本文是关于XML注入中的XXE攻击的复习,涵盖了外部实体和内部实体的区别,有回显时的文件读取、内网探测及命令执行,以及无回显时的数据提取方法,如PHP和DTD方式。适合学习渗透测试和代码审计的读者。
摘要由CSDN通过智能技术生成

 

 欢迎大家一起来Hacking水友攻防实验室学习,渗透测试,代码审计,免杀逆向,实战分享,靶场靶机,求关注

 终于到了一款比较新的漏洞了,这是这几年新的流行款了,因为实际工作中遇到的少,所以基本上就荒废了,看了我之前的博客才回忆起来,毕竟为了“补天”嘛。就学学啦。还是要感谢一波暗大佬的教学,说实话除了发音不准确不讲原理以外讲的确实还可以。有兴趣的小伙伴可以咨询他。

20210206 pentestLab1靶场 XML注入

此外,这一篇也写得挺不错的,适合小白和有一定基础的人看,貌似是译文:【干货分享】你所不知道的XML安全——XML DTD与XXE攻击 – 绿盟科技技术博客

在我的理解中,XXE就是XML的外部实体攻击,但是需要注意的是:libxml<libxml2.9 不支持外部实体(请在PHPinfo中查看版本是否支持)

目录

一、XML外部实体注入(XXE我认知中的)

1.外部实体和内部实体的区别

2、有回显时候的任意文件读取

3、有回显时候的内网探测

4、XML任意命令执行漏洞

二、无回显时候需要构造外带数据通道提取数据

2.1php方式

2.2 DTD方式 (思路同上)

一、XML外部实体注入(XXE我认知中的)

1.外部实体和内部实体的区别

主要在于system吧:

在程序用的比较多就是内部实体(如下)

<!ENTITY 实体名称 "实体的值">

<?xml version="1.0" encoding="ISO-8859-1"?>

<note>

<to>George</to>

<from>John</fr
最低0.47元/天 解锁文章
热热的雨夜
关注
专栏目录
web渗透--24--XML注入攻击
武天旭的博客
09-16 1882
1、漏洞描述: 可扩展标记语言(Extensible Markup Language, XML),用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML是标准通用标记语言(SGML)的子集,非常适合Web传输。XML提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。XML注入攻击,和SQL注入的原理一样,都是攻...
【愚公系列】2023年05月 Web渗透测试之XML攻击
时光隧道
08-25 5万+
XML攻击是一种利用XML文件中的漏洞攻击系统的攻击方法。攻击者可以通过构造恶意的XML文件,使系统解析XML文件时受到攻击,导致系统崩溃、泄漏敏感信息等安全问题。XML攻击的常见类型包括XML注入攻击、XXE攻击、XPath注入攻击等。为防范XML攻击,可以采用严格的XML解析方式、限制外部实体引用等安全措施。
Web渗透(十一)XML注入(XXE)
weixin_39157582的博客
11-23 1988
@TOC 0x00 前言 0x01 XML和DTD XXE漏洞全程为XML External Entity Injection ,也就是XML外部实体注入漏洞。 1、什么是XML? 百度百科 可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。 简单来说,它是一种语言,表现形式类似于HTML(超文本标记语言) ,而XML和HTML的差别在于,HTML是用于展示数据和页面,而XML是为了更好的存储和传输数据。 HTML的容错能力使得格式可以不必十分规范,例如有时可能忘记
WEB 渗透之XXE&XML
weixin_53150482的博客
08-04 435
WEB 渗透之XXE&XML
提供xml外部实体注入攻击的详细解说
最新发布
qq_38140936的博客
07-08 1087
常见的支持xinclude特性的xml解析器都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置。常见的支持xinclude特性的xml解析器都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置。如果程序中不对解析实体做限制的话,可以通过少量的DTD定义,实现海量大小的解析结果的效果,会大量占用服务器的处理、存储。通过构造特定格式的xml文档,读取服务器上指定文件的内容,达到敏感信息获取的目的。
渗透测试-xml注入以及xxe漏洞
lza20001103的博客
07-20 1152
渗透测试-xml注入以及xxe漏洞
【工作日记18】渗透测试之xml注入攻击、CRLF漏洞
liu0yun的博客
07-13 622
xml注入攻击,理解参照https://blog.csdn.net/u011402896/article/details/80914134 和数据库注入有些类似, 对于一个xml文件,如果对将要写入的数据没有安全校验,会出现以下情况: <property name='ipsegmts'>124</property> 假设124是我们输入,若后台写入xml前无任何处理,我们可以尝试提交 124</property>\n<property name='ipse
【愚公系列】2023年05月 Web渗透测试之Tomcat AJP协议攻击
热门推荐
时光隧道
08-25 5万+
Tomcat AJP协议攻击是一种利用Tomcat应用服务器中的AJP(Apache JServ 协议)协议漏洞或存在弱口令等安全问题的攻击方式。攻击者通过AJP协议访问Tomcat应用服务器的服务端口,从而获得未授权的对应用程序的访问权限。攻击者可以利用该漏洞实施远程代码执行攻击、敏感信息泄露等多种攻击手段。为有效遏制此类攻击,应当及时修复漏洞,并加强对应用程序的访问控制。
web渗透--12--不安全的HTTP方法
武天旭的博客
09-11 1万+
1、漏洞描述: 不安全的HTTP方法一般包括:TRACE、PUT、DELETE、COPY等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。其他说明方式如下所示: 方法 解释 PUT 向指定的目录上传文件 ...
[网络安全自学篇] 五十六.i春秋老师分享小白渗透之路及Web渗透技术总结
杨秀璋的专栏
03-05 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文讲解了Windows漏洞利用知识和DEP堆栈执行保护机制,通过构造ROP链来绕过DEP保护,并编写漏洞利用脚本并实现自动化攻击。本文将分析i春秋YOU老师的小白渗透之路,并结合作者系列文章总结Web渗透技术点,非常适合初学者学习,希望对您有所帮助~
web渗透--52--异常信息泄漏
武天旭的博客
09-22 6134
1、漏洞名称: 未自定义统一错误页面导致信息泄露,抛出异常信息泄露,错误详情信息泄漏 2、漏洞描述: JBOSS默认配置会有一个后台漏洞,漏洞发生在jboss.deployment命名空间,中的addURL()函数,该函数可以远程下载一个war压缩包并解压。如果压缩包里含有webshell文件,是直接可以解析的。 3、检测方法 1、通过web扫描工具对网站扫描可得到结果。 2、或者通过手工,去尝试...
web安全渗透测试十大常规项(一):web渗透测试之XML和XXE外部实体注入
HACKONE的博客
06-16 317
XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网扫描、攻击内网等危害。1、获取Content-Type或数据类型为xml时,尝试进行xml语言payload进行测试。
web渗透测试----23、XML外部实体注入--(1)XXE原理
七天
03-05 1811
XML外部实体注入漏洞
XXE初识
Alex_andra的博客
05-04 753
前言 最近在玩的ctf都有一个题是xxe漏洞,没见过没学习过,感觉一脸懵逼。。。课后赶紧来学习一波。。。 简介 XXE(XML External Entity Injection) 全称为 XML 外部实体注入。实际上就是XML外部实体注入。重点就在外部实体。 首先,我们需要对XML有一定的了解。 XML基础 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允...
XML DTD详解
weixin_34259159的博客
05-30 150
  XML DTD详解   前情提要与本文内容介绍   前面的两篇XML相关博文:   第一篇是介绍格式正规的XML: 格式正规的XML:语法 属性 实体 处理指令 样式单 CDATA节   第二篇介绍DTD,引入有效的XML的概念(符合语法规范并符合DTD要求),并介绍DTD的三种使用方法:有效的XML: DTD(文档类型定义)介绍与三种使用方式   一个有效的XML文档必然是结构...
【网络安全】XXE--XML外部实体注入
边缘拼命划水的小陈
04-24 1303
XML外部实体注入(XML EXTERNAL ENTITY)简称XXE漏洞,概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。
XXE学习笔记
Restart的博客
01-11 1134
什么是XXE? XXE全称XML External Entity Injection,即外部实体注入。owasp网站对其的描述是:XXE是针对应用程序解析XML输入类型的攻击。当包含对外部实体的引用的 XML 输入被弱配置的 XML 解析器处理时,就会发生这种攻击。这种攻击可能导致机密数据泄露、拒绝服务、服务器端请求伪造、从解析器所在机器的角度进行端口扫描,以及其他系统影响。 XML基础知识 XML 指可扩展标记语言(EXtensible Markup Language),是一种很像html的语言。但它的标
内部算法与外部实体
flyation的博客
08-20 361
一个现象,计算机相关人员和外行人队计算机的看法是不一样的。 以我自己为例,小时候刚接触电脑时我以为电脑就是那台显示屏。在我当时的认知里,键盘鼠标显示器这样可见的外设就是我能理解的“电脑”,或者说是“电脑硬件”。后来慢慢长大,我对电脑的使用越来越多,越加熟悉。直到大二下学期自己买配件动手组装了一台台式电脑后,才真正明白主板,cpu,内存,硬盘,显卡......才是真正的电脑硬件。 再举一个更加普...
XML学习笔记 第二记
琴弦第七
06-18 1116
2012-08-07 1、XML实体可分为普通内部外部实体内部外部参数实体。普通内部外部实体用在XML文档中,而内部外部参数实体用在DTD声明中。 2、DTD声明普通内部实体语法:,调用时用格式“&实体名;”。 3、DTD声明普通外部实体语法:,表示使用URI或者URL指向文件的全部内容替换实体名,比较少用,调用时用格式“&实体名;”。 4、DTD声明内部参数实体语法:,
揭示XML安全盲点:常见攻击手法与防范措施
"【标题】:《深入解析XML安全...《你所不知道的XML安全XML攻击方法小结》深入探讨了XML安全领域中长期存在的挑战,提醒开发者和安全专业人员对XML安全问题保持警惕,并提供了一套应对策略,以减少XML攻击的可能性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值