(39.1)【XML漏洞专题】必备的基础知识、利用原理、构建规则

已于 2022-08-20 20:20:37 修改
阅读量1.8k 收藏 15
点赞数 5
分类专栏: 0X01【web安全】从0到1 文章标签: web安全
于 2022-04-24 14:44:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53079406/article/details/124360513
版权

目录

一、简介:

二、XML与HTML

三、XML原理:

3.1、XML特点:

3.2、XML构建模块:

3.3、实体引用

3.4、XML可解析的协议

3.5、实体

3.5.1、参数实体:

3.5.2、其余实体

3.6、XML验证

四、DTD原理:

4.1、DTD(Document TypeDefinition)

4.2、分类

4.3、内部DTD的使用

4.3.1、定义:

4.3.2、语法:

4.4、外部DTD的使用

4.4.1、定义:

4.4.2、语法:

4.5、DTD-实体

4.5.1、定义:

4.5.2、分类:

4.5.3、内部实体

4.5.4、外部实体

4.5.5、参数实体

五、产生的原因:

六、XML注入:

6.1、原理:

 七、XEE漏洞利用

(像它一样自律,还有什么办不到呢) 

一、简介:

1、XML是应用程序的(面向服务的)核心,将来也有潜力

常用于从客户端向服务器提交数据。然后, 服务器端应用程序将处理这些数据,并且可能会返回一个包含XML或任何其他格式数据的响应。在使用异步请求在后台进行通信的基于Ajax的应用程序中, 这种行为最为常见。浏览器扩展组件和其他客户端技术也可能会用到XML

——————

XML规范允许使用外部引用来定义实体, XML解析器将动态提取这些实体的值。这些外部实体定义采用URL格式,并可以引用外部Web URL或本地文件系统上的资源。XML解析器将提取指定URL或文件的内容,并将其作为己定义实体的值。如果应用程序在其响应中返回任何使用外部定义的实体的XML数据, 则指定文件或URL的内容将在该响应中返回。

——————

特点:利用容易、代码灵活、易受攻击、应用广

——————

将XML作为攻击对象,可以利用强制解析攻击、XEE(xml外部实体攻击)、XML dos(xdos)攻击……

二、XML与HTML

XML:传输和存储数据(数据的内容)

— — — —

HTML:在前端显示数据,(展示数据,即外观)

— — — —

XML是数据的传输工具,数据和页面设计相分离

三、XML原理:

3.1、XML特点:

元素都须有关闭标签、标签对大小写敏感、元素必须被正确的嵌套、文档必须有根元素、属性值须加引号。

— — — — — —

3.2、XML构建模块:

元素,主要构建模块,元素可包含文本、其他元素或是空的。

属性,元素的额外信息

实体,用来定义普通文本的变量,还可对实体引。

PCDATA,被解析的字符数据,被解析器检查实体并标记。

CDATA,字符数据,不会被解析的文本。

— — — — — —

3.3、实体引用

 eg:把字符 “<” 放XML元素中,解析器会把它当作新元素的开始,所以会导致发生错误

为了避免发送此类的错误,用实体引用`<`来代替”<”字符

XML中,有5个预定义的实体引用。

— — — — — —

3.4、XML可解析的协议

libxml2

file、http、ftp

PHP

file、http、ftp、php、glob、data...

JAVA

file、http、ftp、https、jar、gopher...

.NET

file、http、ftp、https

— — — — — —

3.5、实体

3.5.1、参数实体:

只用于 DTD 和文档的内部子集中,使用百分号(%)+实体名称进行申明和引用

3.5.2、其余实体

在DTD中申明,XML中引用,实体名称申明,用&实体名称引用

字符实体

用十进制格式或十六进制格式,来指定任意 Unicode 字符

命名实体

在 DTD 或内部子集(即 <!DOCTYPE> 语句中一部分)中声明,在文档中用作引用。在解析过程中,实体引用将由它表示替代

外部实体

外部文件的内容,将被插入在引用点

— — — — — —

3.6、XML验证

通过 DTD进行验证,对XML的语法的合法进行判断(合法-->"形式良好")

四、DTD原理:

4.1、DTD(Document TypeDefinition)

文档类型定义。用来约束xml的文档格式(根元素、子元素、属性……的类型、个数、值等),保证XML是一个有效的XML(解析时DTD与XML中的不符就会报错)

— — — — — —

4.2、分类

DTD分内部和外部两种

内部DTD:DTD定义在XML文件中声明

外部DTD:定义在外部的DTD文件中引用

— — — — — —

eg:

<?xml version="1.0"?>

<!--定义此文档是 note 类型的文档-->

<!DOCTYPE note [
<!ELEMENT note (to,from,heading,body)>        <!--定义note元素有四个元素-->
<!ELEMENT to (#PCDATA)>        <!--定义to元素为”#PCDATA”类型-->
<!ELEMENT from (#PCDATA)>        <!--定义from元素为”#PCDATA”类型-->
<!ELEMENT head (#PCDATA)>        <!--定义head元素为”#PCDATA”类型-->
<!ELEMENT body (#PCDATA)>                <!--定义body元素为”#PCDATA”类型-->
]>
<note>
<to>xxx</to>
<from>xxx</from>
<head>xxx</head>
<body>xxx</body>
</note>

— — — — — —

属性声明语法:

<!ATTLIST 元素名称 属性名称 属性类型 默认值>

— — — — — —

4.3、内部DTD的使用

4.3.1、定义:

DTD 被包含在 XML 文件中,一般在<!DOCTYPE> 语句中

4.3.2、语法:

<!DOCTYPE 根元素 [元素声明]>

属性声明语法  <!ATTLIST 元素名称 属性名称 属性类型 默认值>

— — — — — —

eg:

<?xml version="1.0" encoding="utf-8"?>
<!--注释-->
<!DOCTYPE books [
    <!ELEMENT books (book+)>
    <!ELEMENT book (name,author,price)>
    <!ATTLIST book id CDATA #REQUIRED>
    <!ELEMENT name (#PCDATA)>
    <!ELEMENT author (#PCDATA)>
    <!ELEMENT price (#PCDATA)>
    
]>
<books>
    <book id="A01">         <!--books的子元素-->
        <name>HARKER</name>         <!--books的子元素-->
        <author>法外狂徒张三</author>         <!--books的子元素-->
        <price>30.00</price>         <!--books的子元素-->
    </book>        <!--book的结束-->
</books>        <!--books的结束-->

4.4、外部DTD的使用

4.4.1、定义:

DTD 被包含在 XML 文件的外部,首先需要创建一个外部的DTD文件,直接<!ELEMENT...>(不需要包括<!DOCTYPE...>)

— — — — — —

注:外部实体引用时的关键字“SYSTEM”、“PUBLIC”

SYSTEM表示私有的DTD,PUBLIC表示共有的DTD

4.4.2、语法:

<!DOCTYPE 根元素 SYSTEM "文件名">
— — — — — —

eg:

<?xml version="1.0" encoding="utf-8"?>
<!ELEMENT books (book+)>
<!ELEMENT book (name,author,price)>
<!ATTLIST book id CDATA #REQUIRED>
<!ELEMENT name (#PCDATA)>
<!ELEMENT author (#PCDATA)>
<!ELEMENT price (#PCDATA)>
 

然后在XML文档中引入外部的DTD:

<!DOCTYPE books SYSTEM "xxx.dtd">

4.5、DTD-实体

4.5.1、定义:

实体(类似变量),可用来存储数据,但不仅限于存储,用于定义引用普通文本、特殊字符的变量

eg:引用外部实体,即存储数据,还能从远程文件或网络中读取/调用数据

4.5.2、分类:

根据实体被定义的位置,分为内部实体和外部实体(和内部DTD和外部DTD一样)

内部实体:在XML文档中的DTD进行定义的实体

外部实体:定义在外部DTD文件中,并被引用到XML中的实体

— — — — — —

4.5.3、内部实体

语法:

<!ENTITY 实体名称 "实体的值">

eg:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE books [
    <!ENTITY test "good night">
]>

<books>&test;</books>
— — — — — —

4.5.4、外部实体

定义:

<!ENTITY 实体名称 SYSTEM "URL">

声明外部实体:“SYSTEM”关键字,让xml解析器知道是一个外部实体,并从外部资源中获取内容并存储在内部实体,外部资源中存在语法、特殊符号,就可能会报错

外部实体引用支持http,file……协议,不同语言支持的协议不同,但有一些通用的协议,比如http、file、ftp……

— — — — — —

4.5.5、参数实体

定义:

<!ENTITY %实体名称 "值">

<!ENTITY %实体名称 SYSTEM "URL">

语法:

 %+(空格)+实体名,在 DTD 中定义

限制:

只有在 DTD 文件中,参数实体的声明才能引用其他实体,参数实体也可以外部引用

(总而言之,只能在DTD中声明)

eg:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE books [
    <!ENTITY % xxe "hello">
    %xxe;

]>

<books></books>

五、产生的原因:

允许解析外部实体:攻击者创建一个包含外部实体的XML,通过构造恶意内容,使得其中的内容会被服务器端执行,从而达到任意文件读取、系统命令执行、内网端口探测、攻击内网网站……操作

六、XML注入:

 6.1、原理:

XML注入攻击(和SQL注入类似)

攻击者利用XML解析的漏洞,通过"<"、">"构造恶意的数据,如果没有做相关的转义处理,拼接XML里面,可以修改XML的数据格式、添加XML节点,达到恶意语句的执行

【XML漏洞专题】XML注入——查找、注入、防止SOAPicon-default.png?t=M7J4https://blog.csdn.net/qq_53079406/article/details/126438867?spm=1001.2014.3001.5501

 七、XEE漏洞利用

【XXE漏洞专题】XXE原理、产生、检测、危害、利用、示例icon-default.png?t=M7J4https://blog.csdn.net/qq_53079406/article/details/124360287?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522166097378316782395398125%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=166097378316782395398125&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-1-124360287-null-null.nonecase&utm_term=39.2&spm=1018.2226.3001.4450

黑色地带(崛起)
关注
  • 5
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
【WEB漏洞原理XML&XXE利用检测绕过
过期的秋刀鱼
09-14 839
XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害XXE是XML的一个漏洞XXE产生根本原因:网站接受XML数据,没有对xml进行过滤。
JAXB血案之 XML外部实体注入漏洞(XXE)
weixin_47397751的博客
01-12 1159
1.漏洞描述 XML外部实体注入漏洞,即XXE(XML External Entity),此漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。 2.JAXB是什么? JAXB实现了java对象与xml之间的转换,使用的注解主要有: (1)@XmlRootElement:用于类级别的注释,对应XML的根节点。参数: name 定义这个根节点的名称 namespace 定义这个根节点命名空间 (2)
XML 相关漏洞风险研究
最新发布
有价值炮灰
06-03 1785
使用了这么久 XML,但是对其内部细节却不甚了解,本文就来补全这个缺憾。
XML外部实体引用(XXE,XML External Entity attack)漏洞原理及其预防
qq_gfq的博客
03-26 5583
0x00 什么是XMLXML 指可扩展标记语言(EXtensible Markup Language),是一种用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。和HTML类似,但HTML被设计来显示数据,XML被设计来传输数据。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。https://mp.csdn....
XML漏洞分析
F1or_的博客
08-19 729
可以看见这里的函数其实是已经获得了calc,即我们传入的字符了,但是最后却没有返回,返回的是一个带有calc的ValueObjectImpl,而且你可以发现,现在的getValObject是在StringElementHandler的里面,对应前面一开始传入的hashmap对应值,也就是说在这里他截取了。看一下之前的xml文件,这一部分之前说过,当property不为空就可以进入循环,就是在下图这个位置,然后invoke,直接调用方法了,这里是先进行赋值。里面有个invoke,成功执行了。
初识XML------XXE漏洞
weixin_44770698的博客
06-09 444
初始XXE漏洞
一键还原 一键还原系统 v4.1.39.1
10-16
一键还原系统傻瓜式的系统备份、还原、重装工具。体积小巧,速度超快,功能强悍。支持所有Windows系统,及各种新旧硬件(包括EFI主板和GPT硬盘)一键还原系统功能:1、速度超快:备份
Windy (v39.1.5) Premium.apk
05-03
Windy (v39.1.5) Premium.apk
专题资料(2021-2022年)城市公共设施项目贷款重点.doc
10-08
以下是这些知识点的详细说明: 1. **城市公共设施行业发展规划** - 行业概况:公共设施涵盖城市道路桥梁、垃圾处理和绿化等多个方面。自改革开放以来,中国城市化进程加速,但仍落后于发达国家。例如,2002年底,...
orm一键还原系统下载 orm一键还原系统 v4.1.39.1 官方版
10-16
在使用ORM一键还原系统前,用户需要了解一些基本知识,例如理解什么是系统还原点、如何创建和管理这些还原点,以及何时应该使用系统还原功能。还原点是系统在特定时间点的状态记录,包含了系统关键文件和设置的备份...
序号1915-A39.1.2.0_SP16.rar
07-23
"A39.1.2.0" 这部分可能表示软件的主要版本、次要版本、修正版本和构建号。这种版本号系统通常遵循X.Y.Z.W的形式,其中X是主要版本,Y是次要版本,Z是修正版本,W是构建号。这表明A39可能是产品线的一个主要分支,...
XML之XXE漏洞 XML外部实体注入攻击
qq_60115503的博客
05-24 1249
XXE:XML External Entity即外部实体,从安全角度理解成XML External attack外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者通过ENTITY伪造外部实体构成,比如PHP中simplexml_load默认情况下会解析外部实体,XXE标志性函数simplexml_load_string()
OWASP TOP 10 漏洞 2017
qq_44430237的博客
04-03 364
为了解决这个问题,应该确保在日志记录和监控过程中,敏感信息不会被记录或存储,或者在记录和存储时得到适当的保护。失效的身份认证 Broken Authentication 是指应用程序中的身份认证机制被攻击者利用或者绕过,导致攻击者可以通过各种手段获取未经授权的访问应用程序的权限,从而可以窃取敏感信息、进行恶意操作等。定期安全审计和漏洞扫描:对于 Web 应用程序,定期的安全审计和漏洞扫描是必不可少的,可以及时发现和修复潜在的 XSS 漏洞,提高 Web 应用程序的安全性。
XML注入攻击
beyond__devil的博客
10-10 1万+
一、漏洞描述 XML文件的解析依赖libxml库,而libxml2.9以前的版本默认支持并开启了外部实体的引用,服务端解析用户提交的xml文件时未对xml文件引用的外部实体(含外部普通实体和外部参数实体)做合适的处理,并且实体的URL支持file://和php://等协议,攻击者可以在xml文件中声明URI指向服务器本地的实体造成攻击。 图片素材来自网络 二、形成原因 解析
WEB漏洞-XXE&XML利用检测绕过
Rnan_prince的博客
07-28 1358
什么是XML?参考文档 XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。 XML与HTML对比 XML被设计为传输和存储数据,其焦点是数据的内容。 HTML被设计为显示数据,其焦点是数据的外观。 XML旨在传输信息,HTML旨在传输信息。 Xml典型代码: <!--XML声明--> <?xml version="1.0"?> <!-..
XXE xml注入漏洞 入门
weixin_51458899的博客
02-17 2107
xxe 入门
windows文件读取 xxe_Web应用常见漏洞浅析:XXE任意文件读写漏洞、远程代码执行……...
weixin_39551993的博客
12-22 603
原标题:Web应用常见漏洞浅析:XXE任意文件读写漏洞、远程代码执行…… 你的Web应用是否存在XXE漏洞? 如果你的应用是通过用户上传处理XML文件或POST请求(例如将SAML用于单点登录服务甚至是RSS)的,那么你很有可能会受到XXE的攻击。XXE是一种非常常见的漏洞类型,我们几乎每天都会碰到它。在去年的几次web应用渗透中,我们就成功的利用了好几回。什么是XXE“简单来说,XXE就是XML...
关于XML解析存在的安全问题指引
蒋固金(jianggujin)的专栏
08-13 8179
最近一段时间被曝出的微信支付的XML解析存在的安全问题,主要问题是XML外部实体注入漏洞(XML External Entity Injection,简称 XXE),该安全问题是由XML组件默认没有禁用外部实体引用导致,非微信支付系统存在漏洞。微信官方做了回应,原文地址:https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_5 如...
XXE漏洞
热门推荐
chaojixiaojingang
08-31 1万+
XXE漏洞概念:        XXE (XML External Entity injection)XML 外部实体注入漏洞,如果XML 文件在引用外部实体时候,可以沟通构造恶意内容,可以导致读取任意文件,命令执行和对内网的攻击,这就是XXE漏洞,这个漏洞需要大家还有一定的XML协议基础,因此为了更好的去理解漏洞本身原理,必须给大家介绍一下XML相关的知识点。 (1)XML概念:     ...
rpm install snapper-0.10.4-39.1.x86_64.rpm
06-11
你的问题是关于如何在 Linux 系统上安装 snapper-0.10.4-39.1.x86_64.rpm 软件包。要安装这个软件包,你可以使用以下命令: ``` rpm -ivh snapper-0.10.4-39.1.x86_64.rpm ``` 其中,rpm 是用于管理软件包的命令,选项 -i 表示安装软件包,选项 -v 表示显示详细的安装信息,选项 -h 表示显示进度条。安装完成后,你就可以使用 snapper 这个命令来管理文件系统快照了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑色地带(崛起)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值