XXE漏洞的原理和利用

最新推荐文章于 2024-04-24 10:45:27 发布
最新推荐文章于 2024-04-24 10:45:27 发布
阅读量942 收藏 1
点赞数
分类专栏: ctf web 文章标签: xml 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51796436/article/details/122291532
版权

XXE全称为XML外部实体注入、

XML

XML是可扩展标识语言的简写,和HTML的形式很像,后来用于应用程序之间数据传输的常用格式
HTML旨在显示信息,XML旨在传输信息

XML实体

根据实体来源可定义为内部实体和外部实体。XML定义了两种类型的ENTITY,一种在XML文档中使用,另一种作为参数在DTD文件中使用,定义好的ENTITY在文档中通过“&实体名;”来使用

也就是说可以把实体当作xml的变量

xml实体
xml用法

DTD

DTD使数据格式之间按照相同的标准来传输
DTD使一种XML约束模式语言,用来解释XML文档

外部DTD文档的语法结构:

好了,知道了XML和DTD,下面写个XML的代码:

<?xml version="1.0"encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<note>
&xxe;
</note>

看这串代码,定义了一个外部实体,在调用的时候会显示什么?我们想到了php的伪协议。对,xml可以调用伪协议,不仅能调用php,还有java等多个语言的伪协议

参数实体可以调用其他网站的外部实体

XXE

XXE也叫XML外部实体注入,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载

  • 漏洞的产生
    对上传的xml文件没有进行过滤,导致可上传恶意XML文件

  • 漏洞的危害
    1.读取任意文件
    2.执行系统命令
    3.内网端口扫描
    最常用的就是第一个,读取任意文件,至于2,3要和其他漏洞联合使用

命令执行:
“expect://系统命令”,一般出现在ctf中

如何在网站发现XXE的漏洞
xxe的抓包
XXE的抓包如图,和直接POST username=&password=的形式不同,XXE采用xml格式传输数据,且X-Request-With:XMLRequest也有明显提示

读取文件payload:
在这里插入图片描述
在其他实体标签内调用定义的实体值,这个实体标签最好是能在页面回显的标签,比如username会回显,那就直接放在username里。那如果没有回显,那就盲注(OOB外带数据)

XXE代码审计

<?php
$dom = new DOMDocument();//创建XL对象
$dom->loadXML($xmlfileoptions:LIBXML_NOENTLIBXML_DTDLOAD);//将我们发送的字符串生成xml文档$creds = simplexml_import_dom($dom);//实例化xml文档
$username = $creds->username;//获取username
$password = $creds->password;//获取password
if($username == $USERNAME && $password == $PASSWORD){
$result = sprintf( format: "<result><code>%d</code><msg>%s</msg></result", args: 1, $username);}else{
$result = sprintf( format: "<result><code>%d</code><msg>%s</msg></result>" , args: 0,$susername);}catch(Exception.$e){
$result = sprintf( format:"<result<code>d</code><msg>%s</msg</result>" , args: 3,$e->getMlessage());}
header( string: 'Content-Type: text/html; charset=utf-8');echo $result;
?

重点就是前三句,在实例化xml文档时没有过滤

马戏团小丑
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
内含xxe漏洞原理,以及该漏洞的多种利用方式,同时根据八个具体案例详细描述漏洞利用方式。 【想要搭建vulnhub内靶场可关注博主,然后私聊我哦】 同时内含vulnhub中xxe lab:1靶场的过关记录 渗透思路: 由于网站信息什么都没有给出,首先判断靶场搭建的ip【实在判断不出来可以nmap扫一下,找到开放80端口的ip】 得到ip后,可以使用burpsuite进行目录爬取,得到sitemap后就可以对相应可疑站点进行测试,由于该靶场为xxe漏洞靶场,找到对应的登录页面抓包进行构造payload进行测试,其中具体构造payload并找到对应flag见pdf所示。 资源使用人群:前后端有一定了解,具备一些安全方面知识,但不多,保姆级教程,只要你想学就能学会。 工具:忍者渗透测试系统【burpsuite,nmap,base32解密,php在线运行环境,base64解密,cmd5在线平台】
xxe漏洞利用
qq_50673174的博客
05-30 1447
XXEXML External Entity)是指xml外部实体攻击漏洞XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
XXE漏洞原理
2301_80361487的博客
02-01 491
在解析XML文档的过程中,关键字’SYSTEM’会告 诉XML解析器,entityex 实体的值将从其后的URI中读取。5、有些XML解析库支持列目录,攻击者通过列目录、读文件,获取帐号密码后进一步攻击,如读。攻击者通过构造恶意的外部实体,当解析器解析了包含“恶意”外部实体的XML类型文。因此,攻击者可以通过实体将他自定义的值发送给应用程序,然后让应用程序去呈现。攻击者强制XML解析器去访问攻击者指定的本地系统上或是远程系统上的资源内容。进行敏感字符的过滤,从而可以造成命令执行,目录遍历等。
5、XXE漏洞pdf资料
10-15
5、XXE漏洞
jarvisoj WEB +MISC writeup
Ni9htMar3的博客
12-26 7223
WEB PORT 51 Login LOCALHOST 神盾局的秘密 IN a mess Easy Gallery Simple Injection 方法一 方法二 api的调用 PHPINFO
CTF php代码审计 strpos()函数漏洞 XXE漏洞xinclude()
baynk的博客
03-21 3042
这个题之间弄了好一会,都没搞出来,一直没时间,今天下定决定把它做出来!!! <?php highlight_file(__FILE__); class Login { public function __construct($user, $pass) { $this->loginViaXml($user, $pass); } ...
XXE漏洞原理--简单理解
一醉一休的博客
03-16 3504
XXE漏洞全称XML External Entity Injection,即xmI外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害,XML(也是一种语言)被设计用来传输和存储数据 DTD(Document Type Definition 文档类型定义) 1.DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用 2.外部实体(即
XXE漏洞原理及常见利用方式(以xxe-lab为示例)
weixin_43610673的博客
03-11 1932
这是一个有回显的XXE,这里读的文件是比较理想的,没有会被xml解析的字符,如果像下图中文件的内容一样就会引起xml解析报错(如Linux的/etc/fstab文件其中包含一些看起来像 XML 的字符),XML 解析器会尝试解析这些元素,但其不是一个有效的 XML 文档。而XXE是将XML元素注入变成外部实体注入,上面的基础知识部分已经提到了在DTD中声明外部实体,在xml中实体的作用相当于是一个已经定义的变量,可以在标签内使用,通过 & 符号进行引用。,是不会被解析器解析的文本。...
VulnHub_XXE xxe writeup ctfgame_logs
m0_58543272的博客
08-27 931
vulnhub的一个xxe靶场的全程writeup
[Vulhub] PHP环境 XML外部实体注入漏洞XXE
weixin_45605352的博客
05-07 2964
0x01 预备知识 XXE是什么? XXE(XML External Entity Injection)也就是XML外部实体注入,XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml 库,而 libxml2.9 以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体和外部参数实体)做合适的处理,并且实体的URL支持 file:// 和 ftp:// 等协议,导致可加载恶意外部文件和代码,造成 任意文件读取、命令执行、
EOS文档
Fly_鹏程万里
12-17 347
Wiki导航 术语表 公测: Dawn 2.0 概览 节点 公测端点 链接EOSD和公测网络 链接本地EOSC和公测网络 公测账户 程序和工具 eosd eosc eos钱包 launcher 快照 eoscpp 本地环境 获取代码 编译EOS Docker 创建并启动一个测试链 常见问题 账户及权限 钱包 ...
XXE 原理漏洞详解.md
04-03
XXE原理漏洞,易懂。
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
【Camera Sensor Driver笔记】二、点亮指南之Sensor Module XML
Cam_Rxy的博客
04-18 642
registerAddr 0x0600 sensor寄存器地址。registerAddr 0x0112 sensor寄存器地址。registerAddr 0x0136 sensor寄存器地址。registerAddr 0x0100 sensor寄存器地址。registerAddr 0x0104 sensor寄存器地址。registerAddr 0x0104 sensor寄存器地址。
jackson.dataformat.xml 反序列化 对象中包含泛型
最新发布
正怒月神的博客
04-24 232
指定XML元素用于List或者Map ,默认值userWrapping=true。我的Model嵌套了一个泛型,我们重点关注Containers 这个对象。这个注解写在类上,用来忽略在xml中有的属性但是在类中没有的情况。localName 指定root的根路径的名称,默认值为类名。为了让Jackson认出泛型,从而可以顺利反序列化。Containers中,有一个泛型List<>localName 指定本地名称。我们使用如下两个注解。
Java对象转xml(Object to Xml
baomingshu的博客
04-18 710
友情提醒:先看目录,了解文章结构,点击目录可跳转到文章指定位置。
Spring-基于xml自动装配
orixixi的博客
04-19 932
Spring IoC容器在无需显式定义每个依赖关系的情况下,根据指定的策略,自动为指定的bean中所依赖的类类型或接口类型属性赋值。
MoJoCo 入门教程(七)XML 参考
weixin_46300916的博客
04-18 1293
本章是 MuJoCo 中使用的 MJCF 建模语言的参考手册。
xxe漏洞原理及防御方式
05-25
XXE漏洞原理是通过在XML文档中插入恶意实体来触发解析器加载恶意实体,从而发起攻击。 以下是XXE漏洞的防御方式: 1.禁止使用外部实体:在解析XML文档时,应该禁止使用外部实体,避免攻击者利用外部实体来读取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值